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前 


近年 来 ， 国 内 外 由 于 软件 系统 缺陷 引发 的 重大 信息 安全 事件 日 益 增 多 ， 给 相关 机 构 或 企业 带 米 了 不 良 社 会 影响 和 重大 经 济 损 
失 。 软 件 安 全 开发 是 一 种 系统 化 的 应 用 安全 解决 方法 ， 它 将 一 系列 安全 活动 、 安 全 管理 实践 和 安全 开发 工具 有 机 地 结合 在 一 起 ， 
在 整个 软件 开发 生命 周期 中 ， 贯 彻 安全 开发 的 思想 ， 从 源头 着 手 ， 减 少 软件 安全 缺陷 与 漏洞 ， 从 而 提高 软件 运行 的 安全 性 。 与 软 
件 运 行 阶段 解决 安全 问题 相 比 ， 在 软件 开发 阶段 考虑 安全 问题 ， 更 有 效 、 更 经 济 。 


本 书 全 面 梳理 了 国内 外 软件 安全 开发 最 佳 实践 ， 跟 踪 研究 安全 开发 理论 发 展 ， 汇 集 国内 诸多 专家 学 者 智慧 ， 并 汲取 软件 漏洞 
分 析 经 验 ， 用 以 培养 软件 开发 人 员 的 安全 开发 意识 ， 提 高 安全 开发 水 平 ， 增 强 用 户 对 软件 安全 威胁 的 认识 ， 提 升 IT 产品 和 系统 的 
抗 攻击 能 力 。 


本 书 以 内 容 全 面 和 实用 为 撰写 原则 ， 书 中 涵盖 软件 安全 需求 分 析 、 安 全 设计 、 人 安全 编码 、 人 安全 测试 、 安 全 部 署 与 安全 开发 项 
目 管理 等 多 个 领域 的 知识 ， 较 为 全 面 地 分 析 了 软件 安全 开发 最 新 理论 研究 成 果 和 产业 界 最 佳 实践 经 验 。 本 书 在 编写 过 程 中 注重 理 
论 与 实际 相 结合 ， 通 过 案例 分 析 、 工 具 介绍 等 方式 ， 帮 助 读者 更 好 地 掌握 软件 安全 开发 关键 技术 。 


本 书 适 用 于 信息 技术 产品 项 目 经 理 、 软 件 开发 人 员 、 软 件 架 构 师 、 软 件 测 斌 人员， 以 及 政府 相关 人 员 和 重要 信息 基础 设施 网 
络 技术 从 业 人 员 等 。 本 书 能 满足 上 述 人 员 网 络 安全 工作 所 需 。 


本 书 在 编写 过 程 中 得 到 了 社会 各 界 人 士 的 关心 与 支持 ， 在 此 对 这 些 人 士 表示 感谢 ， 尤 其 要 对 沈 尚 方 、 谢 成 、 谢 安 明 等 人 的 积 


极 参与 表示 衷心 感谢 。 书 中 不 妥 或 错误 之 处 恳请 广大 读者 批评 指正 。 


第 1 章 ”软件 安全 开 友 基础 


软件 自身 存在 安全 漏洞 是 信息 安全 问题 产生 的 主要 原因 之 一 。 本 章 首 先 介绍 了 软件 安全 问题 以 及 传统 软件 开发 的 局 限 ， 其 次 
阐述 了 软件 安全 保障 和 安全 软件 开发 生命 周期 的 内 涵 ， 并 介绍 了 国外 相关 标准 和 典型 安全 开发 模型 ， 以 期 读者 能 够 了 解 软件 安全 
问题 产生 的 原因 、 安 全 开发 的 重要 性 ， 明 确 软 件 安全 开发 的 指导 思想 ， 及 其 相互 间 的 关系 、 特 点 和 适用 场景 。 


1.1 软件 安全 开发 背景 


1.1.1 ”软件 的 发 展 和 安全 问题 


软件 是 指 计算 机 程序 、 方 法 和 相关 的 文档 资料 ， 以 及 在 计算 机 上 运行 时 所 需要 的 数据 。 当 今 是 一 个 全 球 化 、 信 息 化 的 时 代 ， 
每 时 每 刻 都 有 无 数 软件 系统 正在 运行 。 信 息 化 是 当今 世界 发 展 的 大 趋势 ， 是 推动 经 济 社会 变革 的 重要 力量 。 软 件 则 是 信息 化 建设 
的 重要 组 成 部 分 。 自 进入 互联 网 时 代 以 来 ， 信 息 化 已 经 履 盖 社会 生产 、 生 活 的 方方面面 ， 包 括 政务 、 金 融 、 电 力 、 通 信 、 能 源 、 
交通 运输 等 重要 行业 ， 这 些 行 业 的 软件 系统 的 安全 与 稳定 运行 直接 关系 到 国计民生 ， 影 响 到 国家 安全 。 


在 信息 化 建设 过 程 中 ， 软 件 系统 的 安全 体系 是 一 个 复杂 的 体系 ， 系 统 软件 、 应 用 软件 和 第 三 方 软件 的 安全 问题 ， 以 及 开发 、 
部 署 过 程 中 的 安全 问题 ， 如 果 处 理 不 当 或 者 不 加 防范 ， 都 可 能 给 整个 系统 带 来 巨大 的 灾难 。 


(1) 系统 软件 安全 问题 


最 早 的 计算 机 蠕虫 一 一 莫 里 斯 蠕虫 ， 是 在 互联 网 刚刚 开始 发 展 的 时 候 出 现 的 。 它 在 短 短 12 小 时 内 导致 6200 台 采用 UNIX 操 作 
系统 的 SUN 工 作 站 和 VAX 小 型 机 瘫痪 或 半 次 病 ， 不 计 其 数 的 数据 和 资料 遭 到 破坏 。 莫 里 斯 蠕虫 利用 了 这 些 主机 使 用 的 UNIX 操 作 
系统 中 一 个 服务 的 缓冲 区 溢出 漏洞 ， 突 破 了 系统 自身 安全 功能 的 保护 。 


2014 年 9 月 “ 破 壳 ” (Shellshock) 漏洞 首次 爆发 ， 该 漏洞 属于 典型 的 脚本 注入 漏洞 。 基 于 Bash 的 常用 远程 服务 在 输入 的 
过 滤 中 没有 严格 限制 边界 ， 也 没有 做 出 合法 化 的 参数 判断 ， 导 致 在 Linux 等 服务 器 操作 系统 上 可 能 被 远程 执行 任意 命令 。 这 个 漏 
洞 包 含 了 远程 代码 执行 和 本 地 提 权 ， 可 以 直接 获取 权限 。 “ 破 壳 ” 漏 洞 影响 Linux 和 Mac OSX 操 作 系统 平台 ， 包 括 但 不 限于 
Redhat、CentOS、Ubuntu、Debian、Fedora、Amazon Linux、OS X 10.10 等 平台 。 而 类 UNIX 系 统 是 众多 网 络 设备 的 底层 
操作 系统 ， 特 别 是 Bash 广 泛 地 分 布 和 存在 于 设备 中 ， 致 使 “ 破 壳 ” 漏 洞 的 危害 范围 很 大 ， 涉 及 网 络 设备 、 网 络 安全 设备 、 云 计 
算 和 大 数据 中 心 等 。 


(2) 应 用 软件 安全 问题 


自 2011 年 以 来 ， 网 上 陆续 披露 出 一 些 社会 保险 信息 系统 的 安全 漏洞 ， 导 致 上 干 万 公民 信息 泄露 。 造 成 这 一 安全 问题 的 原因 
是 在 开发 过 程 中 缺乏 安全 知识 ， 导 致 开发 出 的 系统 存在 SQL 注入 、 任 意 路 径 遍 历 等 安全 漏洞 。 


近年 来 ， 互 联网 金融 “异军突起 ”。 据 不 完全 统计 ， 截 至 2014 年 11 月 ， 已 有 近 165 家 P2P 平 台 遭 遇 黑 客 攻击 陷入 系统 瘫痪 、 
数据 被 恶意 算 改 、 资 金 被 洗 动 等 安全 问题 中 。 行 业 中 众多 网 站 都 遭遇 过 黑客 攻击 、 数 据 泄露 、 威 胁 勒 索 等 安全 事件 。 很 多 互联 网 
金融 企业 通过 购买 通用 软件 模板 或 组 织 自主 开发 P2P 网 贷 平 台 ， 导 致 网 站 系统 中 包含 XSs 跨 站 脚本 漏洞 、CSRF 跨 站 请 求 伪造 漏 
洞 、 平 行 越权 漏洞 、 任 意 用 户 密 码 重 置 漏洞 等 一 系列 安全 开发 漏洞 ， 仔 细 分 析 原 因 ， 不 难 发 现 P2P 金 融 网 站 系统 开发 普遍 存在 安 
全 技术 力量 不 足 的 状况 。 


(3) 第 三 方 代 码 安全 


2014 年 4 月 ，OpenSSL“ 心 脏 出 血 ” 安 全 漏洞 大 范围 爆发 。OpenSSL 是 安全 套 接 层 密码 库 ， 同 时 是 一 个 没有 太 多 限制 的 开 
放 源 代码 软件 包 ， 支 持 SSL 和 TLS 协 议 。Apache 使 用 它 加 密 HTTPS，OpenSSH 使 用 它 加 密 SSH， 很 多 涉及 资金 交易 的 平台 (如 
支付 网 站 ) 都 用 它 来 做 加 密 工 具 。4 月 8 日 ，OpenSSL 1.0.1~1.0.2-beta1 版 本 发 现 Heartbleed (心脏 出 血 ) 漏洞 ， 该 漏洞 会 暴 
露 HTTPS 服 务 器 64KB 的 内 存 明文 信息 ， 可 能 包含 Session、 认 证 以 及 账户 密码 等 敏感 信息 。 由 于 大 量 软 件 使 用 了 存在 漏洞 的 
OpenssL 代 码 库 ， 尤 其 是 HTTPS 网 站 (大 多 采用 OpenSSL 来 实现 对 SSL 协 议 的 支持 ) ， 致 使 国内 众多 大 型 网 站 和 厂商 受到 影 
响 。 


Java 的 跨 平台 特性 使 其 应 用 广泛 ， 并 因此 遭受 大 量 黑客 攻击 。2011 年 微软 监测 到 2750 万 次 针对 Java 漏 洞 的 攻击 ， 使 Java 超 
越 Adobe 成 为 黑客 主要 目标 。2013 年 ，Java 7 曾 爆 出 重大 安全 漏洞 ， 虽 然 甲骨 文 紧急 发 布 了 Java 7 的 更 新 ,但 Facebook、 苹 
果 、 微 软 、Twitter 等 大 型 互联 网 跨国 企业 仍 被 黑客 利用 该 漏洞 成 功 入 侵 。 该 漏洞 影响 Java SE 7 (Standard Edition 7) 的 用 
户 ， 当 用 户 不 愤 浏 览 到 含有 恶意 Java Applet 的 网 页 ， 黑 客 就 有 机 会 由 java Applet 内 的 恶意 程序 代码 入 侵 用 户 计算 机 。 由 于 Java 
7 纳入 了 动态 语言 特性 ， 恶 意 Java Applet 可 以 绕 过 Java 安全 沙 箱 ， 在 不 经 用 户 允 许 的 状况 下 执行 ， 黑 客 能 以 不 同 用 户 权限 窃取 用 
户 数据 。 


同年 7 月 ，Struts2 漏 洞 爆发 。Struts2 是 一 个 帮助 Java 开 发 者 利用 J2EE 开 发 Web 应 用 的 开发 框架 ， 作 为 网 站 开发 的 底层 通用 
模板 ， 在 大 型 互联 网 人 企业、 政府、 金融 机 构 等 网 站 建设 中 应 用 广泛 。 漏 洞 涉及 Struts2.0 及 以 上 版 本 (2.0-2.3.15) ， 能 远程 执行 
命令 并 开放 重 定 向 。 利 用 该 漏洞 ， 黑 客 可 发 起 远程 攻击 ， 不 但 可 以 窃取 网 站 数据 信息 ， 甚 至 还 可 以 取得 网 站 服务 器 控制 权 。 


Struts2 漏 洞 影响 巨大 ， 许 多 大 型 互联 网 广 商 均 受 此 漏洞 影响 。 如 今 ， 开 源 软 件 架构 下 漏洞 频频 爆 出 ， 并 且 大 多 属于 突 发 性 威 
胁 ， 爆 发 速度 快 、 波 及 范围 广 ， 值 得 高 度 关注 。 


(4) 新 技术 安全 问题 


在 工业 生产 领域 ， 随 着 计算 机 技术 、 通 信 技 术 、 控 制 技术 的 发 展 和 信息 化 与 工业 化 的 深度 融合 ， 传 统 的 工业 控制 系统 
(Industrial Control System，1CS) 逐渐 向 网 络 化 转变 ， 黑 客 、 病 毒 、 木 马 等 威胁 正在 向 ICS 扩 散 ，ICS 面 临 的 信息 安全 形势 日 
益 严峻 。 如 2003 年 ， 美 国 俄亥俄 州 Davis-Besse 的 核电 三 控制 网 络 内 的 一 台 计 算 机 被 蠕虫 感染 ， 导 致 其 安全 监控 系统 停机 将 近 5 
小 时 。 著 名 的 “网 络 超级 武器 ”Stuxnet 病 毒 在 2010 年 被 发 现 ， 其 针对 性 地 入 侵 伊朗 布什 尔 核电 站 ， 严 重 影响 到 核反应 堆 的 安全 


在 日 常生 活 中 ， 包 括 智能 手表 、 智 能 电视 、 冰 箱 、 洗 衣 机 乃至 电饭煲 ， 每 天 越 来 越 多 的 新 设备 联 入 互联 网 ， 万 物 互 联 的 时 代 
即将 开启 ， 这 些 新 型 网 络 中 的 软件 安全 问题 引 人 关 注 。 以 车 联网 为 例 ，2014 年 ， 美 国 一 名 14 岁 男孩 演示 了 他 是 如 何 仅 任 15 美 元 
购买 的 简单 电子 设备 ， 轻 而 易 举 地 侵入 联网 汽车 的 ; 德国 安全 专家 曝光 了 宝马 诸多 车 型 的 中 控 系 统 可 被 破解 ， 在 数 分 钟 内 即 可 解 
除 车 锁 ， 该 漏洞 存在 于 220 万 辆 宝马 车 、Mini 和 劳 斯 莱 斯 中 。 


现在 智能 联网 汽车 的 安全 风险 日 渐 突 出 ， 其 主要 原因 是 汽车 控制 系统 由 车 载 电脑 实现 ， 典 型 的 豪华 车 包含 大 约 1 亿 行 代码 的 
软件 ， 同 时 汽车 系统 在 开发 时 存在 多 处 安全 缺陷 。 从 被 曝光 的 漏洞 中 可 以 发 现 ， 在 验证 解锁 信号 时 ， 汽 车 只 是 向 宝马 服务 器 发 送 
一 个 简单 的 HTTP Get 请 求 ， 在 传输 过 程 并 没有 使 用 SSL 或 TLS 加 密 ， 致 使 黑客 可 以 截获 传输 信息 。 另 外 汽车 的 命令 验证 机 制 也 存 
在 缺陷 ， 汽 车 通过 查看 消息 中 的 车 辆 标识 码 (Vehicle Identification Number，VIN) 来 检查 收 到 消息 的 目的 地 址 ， 如 果 不 匹 
配 它 就 不 会 执行 发 送 命令 ; 另 一 方面 ， 当 不 能 接收 到 有 效 的 VIN 码 时 ， 它 会 发 送 一 条 错误 消息 并 附 上 自己 的 VIN 来 标识 。 


现在 大 多 数 的 网 络 攻击 利用 了 软件 (尤其 是 应 用 软件 ) 的 漏洞 。 根 据 统 计 分 析 ， 绝 大 多 数 成 功 的 攻击 都 是 针对 和 利用 已 知 
的 、 未 打 补 本 的 软件 漏洞 和 不 安全 的 软件 配置 ， 而 这 些 软件 安全 问题 都 是 在 软件 设计 和 开发 过 程 中 产生 的 。 


软件 的 安全 问题 一 般 包 含 两 个 方面 : 一 是 软件 的 可 靠 性 和 可 用 性 问题 ; 二 是 软件 中 信息 的 保密 性 和 完整 性 问题 。 


由 于 处 理 不 当 或 出 现 意外 ， 软 件 在 运行 过 程 中 可 能 会 出 现 错误 结果 或 运行 不 稳定 、 骨 省 等 观 象 ， 甚 至 引起 操作 系统 或 主机 死 
机 等 情况 。 这 一 般 是 由 于 软件 设计 或 实现 时 考虑 不 周 ， 软 件 运行 中 出 现 无 法 处 理 的 异常 ， 或 申请 操作 系统 资源 过 多 而 释放 不 及 
时 ， 或 线程 处 理 不 同步 等 情况 引起 的 ， 如 : 操作 系统 启动 时 发 现 未 能 驱动 的 硬件 而 导致 蓝屏 ;应 用 软件 由 于 存在 内 存 泄露 ， 运 行 
时 系统 内 存 消耗 越 来 越 大 ， 直 至 最 后 前 演 ; 网 络 软件 由 于 对 用 户 并 发 数 考虑 不 周 ， 导 致 用 户 数量 超出 了 预计， 程序 运行 错误 ;多 线 
程 软件 对 线程 同步 考虑 不 周 ， 导 致 系统 因 资源 死 锁 而 死机 。 


由 于 软件 在 设计 和 实现 时 安全 防护 考虑 不 周 ， 而 被 黑客 利用 ， 黑 客 因此 就 能 达到 获得 隐私 、 窃 取信 息 ， 甚 至 破坏 系统 的 目 
的 。 如 : 软件 使 用 明文 存储 用 户口 令 ， 黑客 通过 数据 库 漏洞 直接 获取 口令 明文 ;软件 存在 缓冲 区 溢出 漏洞 ， 黑客 利用 溢出 攻击 而 
获得 远程 用 户 权限 ; 软件 对 用 户 登录 的 安全 验证 强度 太 低 ， 黑 客 假冒 合法 用 户 登录 ; 软件 对 用 户 输入 没有 严格 删除 ， 被 黑客 利用 
后 执行 系统 删除 命令 ， 从 而 导致 系统 被 破坏 。 


1.2 ”软件 安全 开 友 概念 


1.2.1 ”软件 安全 保障 


理想 中 ， 安 全 的 软件 是 不 存在 任何 安全 漏洞 、 能 抵御 各 种 攻击 威胁 的 软件 。 现 实 中 这 样 的 软件 是 不 可 能 存在 的 ， 因 为 安全 威 
胁 无 处 不 在 ， 在 需求 、 设 计 和 开发 过 程 中 ， 如 果 在 安全 方面 稍 有 不 愤 ， 就 有 可 能 将 安全 漏洞 融入 软件 。 软 件 安全 保障 的 思路 是 在 
软件 开发 生命 周期 各 阶段 采取 必要 的 安全 考虑 和 相应 的 安全 措施 ， 尽 管 不 能 完全 杜绝 所 有 的 安全 漏洞 ， 也 可 以 做 到 避免 和 减少 大 
部 分 安全 漏洞 。 


软件 安全 保障 是 指 确 保 软 件 能 够 按照 开发 者 的 预期 ， 提 供与 威胁 相 适 应 的 安全 能 力 ， 从 而 维护 软件 自身 的 安全 属性 ， 避 免 存 
在 可 以 被 利用 的 安全 漏洞 ， 并 且 能 从 被 入 侵 和 失败 的 状态 中 恢复 。 软 件 安全 保障 的 目标 是 使 软件 可 以 规避 安全 漏洞 ， 按 照 预 期 的 
方式 执行 其 功能 ， 以 增强 开发 者 和 使 用 者 的 信心 。 由 于 信息 系统 所 承载 业务 的 风险 很 大 程度 上 与 软件 安全 息息相关 ， 软 件 安全 保 
障 已 经 成 为 当前 信息 安全 需要 解决 的 关键 问题 。 


软件 安全 性 主要 是 由 软件 的 安全 属性 来 定义 和 保证 的 。 软 件 的 安全 属性 包括 保密 性 、 完 整 性 、 可 用 性 、 抗 抵赖 性 等 。 其 中 ， 
保密 性 、 完 整 性 和 可 用 性 是 软件 的 核心 安全 属性 。 

保密 性 : 软件 必须 保证 其 内 容 、 资 源 管理 以 及 自身 特性 (包括 其 运行 环境 和 用 户 之 间 的 联系 ) 对 未 授权 的 实体 隐藏 。 

* 完整 性 : 软件 以 及 受 其 管理 的 资源 必须 能 够 抵御 主动 攻击 ， 防 止 被 非法 用 户 修改 和 破坏 ， 并 能 从 被 破坏 状态 中 恢复 。 

* 可 用 性 : 软件 可 被 授权 用 户 访问 并 按 需 求 使 用 ， 即 保证 合法 用 户 对 系统 和 资源 的 使 用 不 会 被 不 合理 拒绝 。 


对 于 安全 性 要 求 较 高 的 软件 系统 ， 在 满足 软件 核心 安全 属性 的 基础 上 ， 抗 抵赖 性 、 可 预测 性 及 可 靠 性 等 也 是 软件 需要 考虑 的 
重要 安全 属性 。 


一 般 认 为 ， 软 件 可 预测 性 意味 着 只 要 软件 的 运行 情况 (例如 软件 输入 、 运 行 环境 等 ) 可 预测 ， 软 件 的 功能 、 属 性 和 行为 就 始 
终 符合 预期 。 软 件 可 靠 性 关注 软件 保持 可 预测 的 、 正 确 的 运行 能 力 ， 包 括 可 预测 和 不 可 预测 的 环境 状态 变化 、 意 外 的 错误 等 ; 但 
可 靠 性 背景 下 的 错误 一 般 是 随机 的 、 不 可 预测 的 系统 错误 ， 安 全 性 背景 下 的 错误 一 般 是 人 为 的 恶意 攻击 。 


在 软件 安全 保障 中 ， 需 要 贯彻 风险 管理 的 思想 。 由 于 软件 自身 存在 漏洞 ， 而 客观 上 又 存在 外 部 威胁 ， 一 旦 条 件 满足 ， 势 必 会 
造成 安全 间 题 ， 给 软件 的 执行 结果 带 来 影响 。 软 件 用 户 需要 树立 软件 安全 控制 的 信心 ， 该 信心 是 通过 保障 活动 获取 的 。 安 全 保障 
的 作用 是 试图 证 明 软件 系统 已 经 满足 了 其 安全 目标 ， 使 用 户 对 降低 预期 的 风险 抱 有 信心 。 如 果 软 件 安全 控制 是 正确 的 和 足够 充分 
的 ， 那 么 软件 系统 完成 预定 任务 时 可 能 面临 的 风险 就 是 用 户 可 接受 的 ， 用 户 就 会 对 软件 有 信心 。 


1.3 ”软件 安全 开 友 万 法 


软件 安全 开发 主要 是 从 生命 周期 的 角度 ， 对 安全 设计 原则 、 安 全 开发 方法 、 最 佳 实践 和 安全 专家 经 验 等 进行 总 结 ， 通 过 采取 

各 种 安全 活动 来 保证 尽 可 能 得 到 安全 的 软件 。 近 十 年 来 ， 众 多 软件 安全 开发 方法 和 模型 涌现 出 来 ， 比 较 知名 的 有 微软 的 安全 开发 

命 周期 (SDL) 、 内 建安 全 (BSI) 、BSI 成 熟 度 模型 (BSIMM) 、 软 件 保障 成 熟 度 模型 (SAMM) 、 综 合 的 轻 量 应 用 安全 过 
程 (CLASP) 等 ， 下 面 将 依次 进行 介绍 。 


1.4 软件 安全 开 上 友 其 他 相关 内 容 


1.4.1 ”风险 管理 


风险 管理 是 信息 安全 保障 工作 的 基本 方法 ， 信 息 安全 保障 应 以 风险 管理 为 基础 ， 针 对 可 能 存在 的 各 种 威胁 和 自身 弱点 ,采取 
有 针对 性 的 防范 措施 。 任 何 类 型 和 规模 的 组 织 都 会 受到 一 些 内 部 和 外 部 因素 的 影响 ， 由 于 组 织 的 业务 运营 越 来 越 依 赖 于 信息 资 
产 ， 信 息 安全 相关 风险 在 组 织 整体 风险 中 所 占 的 比例 越 来 越 高 。 信 息 安 全 风险 管理 的 目的 就 是 要 缓解 和 平衡 这 一 矛盾 ， 将 风险 控 
制 到 可 接受 的 程度 ， 保 护 信息 及 其 相关 资产 ， 最 终 保障 其 业务 的 正常 运营 。 


言 息 安全 风险 是 指 某 种 特定 的 威胁 利用 一 种 或 一 组 脆弱 性 造成 组 织 的 资产 损失 或 损害 的 可 能 性 。 风 险 的 大 小 ， 与 资产 、 威 
胁 、 脆 弱 性 这 三 个 引起 风险 的 最 基本 要 素 有 关 。 其 中 ， 资 产 是 任何 对 组 织 有 价值 的 东西 ， 是 要 保护 的 对 象 ; 威胁 是 可 能 导致 信息 
安全 事故 和 组 织 信息 资产 损失 的 活动 ;脆弱 性 则 是 与 信息 资产 有 关 的 弱点 或 安全 隐患 ， 是 造成 风险 的 内 因 。 衡 量 风险 的 两 个 基本 
要 素 是 事件 发 生 的 概率 和 产生 的 后 果 。 


风险 评估 是 针对 风险 管理 对 象 所 面临 的 风险 进行 识别 、 分 析 和 评价 ， 通 过 风险 评估 的 结果 获得 信息 安全 需求 。 信 息 安全 风险 
管理 需要 依靠 风险 评估 的 结果 确定 随后 的 风险 处 理 和 批准 监督 活动 。 风 险 评 估 使 得 组 织 能 够 准确 定位 风险 管理 的 策略 、 实 践 和 工 
具 ， 能够 将 安全 活动 的 重点 放 在 重要 问题 上 ， 还 能 够 选择 成 本 合理 、 适 用 的 安全 对 策 。 


风险 评估 的 过 程 一 般 包 括 风 险 评估 准备 、 风 险要 素 识别 、 风 险 分 析 和 风险 结果 判定 四 个 阶段 ， 其 具体 流程 图 如 图 1-4 所 示 。 
风险 评估 准备 阶段 制订 风险 评估 计划 和 方案 ， 选 择 风险 评估 工具 ， 为 后 续 风 险 评估 的 实施 做 好 准备 。 此 阶段 形成 的 计划 书 和 方案 
需要 得 到 信息 系统 和 信息 安全 风险 管理 高 层 的 认可 和 | 批准。 风险 要素 识别 阶段 识别 需要 保护 的 资产 、 面 临 的 威胁 以 及 存在 的 脆弱 
性 ， 并 分 别 赋 值 ， 同 时 确认 已 有 的 安全 措施 ， 形 成 需要 保护 的 资产 清单 ， 以 及 面临 的 威胁 、 存 在 的 脆弱 性 和 已 有 安全 措施 三 份 列 
表 。 风 险 分 析 阶 段 分 析 安 全 事件 发 生 的 可 能 性 及 造成 的 损失 ， 并 实施 风险 计算 ， 形 成 风险 计算 报告 。 风 险 结果 判定 阶段 评价 风险 
的 等 级 和 综合 评价 风险 状况 ， 形 成 风险 程度 等 级 列表 和 风险 评 佑 报告 。 


对 于 任何 一 种 能 充分 保证 软件 安全 的 方法 来 阅 ， 持 续 的 风险 管理 过 程 都 是 必 不 可 少 的 。 在 软件 安全 开发 中 ， 确 保 软件 安全 需 
要 有 效 管理 风险 ， 包 括 管 控 软 件 开发 周期 各 个 阶段 的 输出 结果 中 发 现 的 风险 、 不 充分 的 过 程 引 入 的 风险 ， 以 及 与 人 员 相 关 的 风 
险 。 在 软件 管理 过 程 中 需要 使 用 风险 管理 框架 来 实现 持续 的 、 一 致 的 、 和 迭代 的 风险 分 析 ， 并 将 其 完全 地 、 深 层次 地 整合 到 软件 开 
发 周期 中 。 软 件 风 险 管理 框架 是 由 以 下 基本 活动 阶段 组 成 的 封闭 循环 过 程 : 


* 确认 业务 和 技术 的 风险 。 
“ 综合 评价 风险 并 赋予 优先 级 。 
“ 定义 风险 减轻 策略 。 


“ 实现 修正 并 确认 其 正确 性 。 
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图 1-4 风险 评估 实施 流程 


在 软件 开发 项 目 中 ， 软 件 安全 风险 管理 的 常用 实践 措施 是 进行 安全 风险 分 析 和 风险 评估 。SDL 方 法 中 的 风险 评估 至 少 包括 两 
个 基本 的 交付 物 : 安全 风险 评估 和 隐私 影响 分 级 。 安 全 风险 评估 被 用 于 判断 系统 中 易 受 攻击 的 漏洞 级 别 ， 并 完成 相应 的 调查 文件 
和 评估 文档 ; 隐私 影响 分 级 包含 三 个 策略 值 : 隐私 分 级 1、 隐 私 分 级 2 以 及 隐私 分 级 3， 分 别 对 应 不 同 的 隐私 保护 责任 ， 以 确保 开 
发 的 系统 不 会 违反 隐私 规定 。 


威胁 建 模 和 受 攻击 面 分 析 是 风险 分 析 评 佑 的 重要 方法 ， 相 关内 容 我 们 会 在 第 3 章 中 详细 展开 介绍 。 需 要 说明 的 是 风险 管理 是 
一 种 连续 的 、 和 迭代 的 过 程 ， 在 项 目 开 发 过 程 中 需要 多 次 应 用 ， 如 : 降低 软件 受 攻击 面 是 基于 需求 分 析 阶 段 安全 风险 评估 的 结果 ， 
威胁 建 模 则 是 在 设计 阶段 常用 的 软件 风险 分 析 方 法 。 


第 2 草 ”软件 安全 需求 分 析 


软件 需求 分 析 的 任务 是 深入 描述 软件 的 功能 和 性 能 ， 确 定 软件 设计 的 约束 和 软件 同 其 他 系统 元 素 的 接口 细节 ， 定 义 软件 的 其 
他 有 效 性 需求 ， 借 助 当 前 系统 的 罗 辑 模型 导出 目标 系统 远 辑 模型 ， 解 决 目 标 系统 “做 什么 ”的 问题 。 在 传统 的 软件 开发 过 程 中 ， 
不 适当 的 需求 过 程 将 导致 产品 无 法 被 接受 。 不 适当 的 需求 分 析 将 导致 以 下 风险 : 用 户 需求 不 充分 导致 产品 无 法 被 用 户 接受 ; 用 户 
需求 的 增加 带 来 过 度 的 耗费 和 降低 产品 的 质量 ; 模棱两可 的 需求 说 明 可 能 导致 时 间 的 浪费 和 返工 ; 用 户 增 加 一 些 不 必要 的 特性 和 
开发 人 员 画 蛇 添 足 、 过 分 简略 的 需求 可 能 影响 某 些 关键 需求 的 实现 ; 忽略 某 类 用 户 的 需求 导致 众多 客户 的 不 满 ; 不 完善 的 需求 说 
明 使 得 项 目 计 划 和 跟踪 难以 准确 进行 。 


同 传统 的 软件 开发 过 程 一 样 ， 安 全 需求 分 析 在 软件 安全 开发 过 程 中 也 是 必 不 可 少 的 一 个 阶段 ， 安 全 需求 分 析 的 好 坏 直接 影响 
着 安全 开发 过 程 中 的 后 续 阶段 。 美 国 国家 标准 技术 研究 所 (NIST) 报道 称 ， 美 国 每 年 对 安全 性 和 可 靠 性 有 缺陷 的 软件 进行 故障 
处 理 和 维修 的 费用 高 达 595 亿 美元 。 这 个 代价 表明 一 旦 应 用 被 部 署 到 了 真实 的 运行 环境 中 ， 要 提高 它 的 安全 性 非常 困难 而 且 花费 
很 大 ， 同 时 也 表明 在 安全 需求 分 析 阶 段 的 一 个 很 小 的 改进 都 会 带 来 很 高 回报 率 。 


本 章 首先 介绍 了 需求 和 安全 


求 的 定义 ， 二 者 的 区 别 与 联系 ， 以 及 与 之 相关 的 重要 概念 ， 然 后 总 结 了 常用 的 安全 需求 分 析 方 
法 ， 并 总 结 了 产业 界 典 型 的 安全 需求 


求 分 析 过 程 。 


而 
而 


2.1 需求 和 安全 需求 


20 世 纪 60 年 代 爆 发 的 “软件 危机 ”， 使 得 软件 项 目 在 开发 和 维护 的 过 程 中 遇 到 一 系列 严重 问题 。1995 年 ，Standish Group 
研究 机 构 以 美国 境内 8000 个 软件 项 目 作 为 调查 样本 ， 调 查 结果 显示 ， 有 84% 的 软件 计划 无 法 于 既定 时 间 、 经 费 中 完成 ， 超 过 
30% 的 项 目 于 执行 期 间 被 取消 ， 项 目 预算 平均 超出 189%。 其 原因 在 于 软件 专业 人 员 的 软件 开发 和 维护 观念 模糊 ， 在 实践 过 程 中 
或 多 或 少 地 采用 了 错误 的 方法 和 技术 ， 例 如 ， 忽 视 软 件 需求 分 析 的 重要 性 ， 认 为 软件 开发 就 是 写 程序 并 设法 使 之 运行 ， 轻 视 软件 
维护 等 。 


由 表 2-1 所 示 ， 软 件 需求 分 析 相 关 问 题 都 占据 了 相当 大 的 比率 ， 可 见 软件 需求 分 析 是 关乎 项 目 成 败 的 重要 因素 。 事 实 上 ， 对 
用 户 要 求 没有 完整 准确 的 认识 就 匆忙 着 手 编写 程序 是 许多 软件 开发 工程 失败 的 主要 原因 之 一 。 因 此 ， 软 件 开发 人 员 需 要 做 大 量 深 
入 细致 的 调查 研究 工作 ， 反 复 地 和 用 户 交流 信息 ， 才 能 真正 全 面 、 准 确 、 具 体 地 了 解 用 户 的 要 求 。 对 问题 和 目标 的 正确 认识 是 解 
决 任何 问题 的 前 提 和 出 发 点 ， 软 件 开发 也 不 例外 。 急 于 求 成 ， 仓 促 上 阵 ， 对 用 户 要 求 没 有 正确 认识 就 匆忙 着 手 编写 程序 ， 就 如 同 
不 打 好 地 基 就 盖 高 楼 一 样 ， 最 终 必然 倒塌 。 


表 2-1 Standish1994 年 软件 项 目 十 大 成 功 因素 、 十 大 质疑 因素 和 十 大 失败 因素 


项 目 成 功 因素 项 目 损伤 因素 | 百分比 (% ) 
1. 用户 参 与 . 不 完整 的 需求 13 洒 
2. 管理 层 支 持 3 2. 缺乏 用 户 参 与 12.4 
3. 清晰 明确 的 需求 说 明 3. 受 质疑 的 需求 规格 说 明 3. 缺乏 资源 10.6 
4. 合适 的 计划 4. 缺乏 管理 层 支持 Ee 4. 不 现实 的 期 望 9.9 
5. 现实 的 期 望 5. 技术 不 完备 5. 缺乏 管理 层 支持 9.3 
6. 更 小 的 项 目 里 程 碑 : .4 . 需求 规格 改变 87 
7. 有 能 力 的 员工 5.5 7. 缺少 规划 8 
8. 所 有 权 5. 5.3 . 再 也 不 需要 了 TS 
9. 清晰 的 远景 和 目标 2 4.3 9. 缺乏 IT 管理 6.2 
10. 努力 工作 的 员工 .4 3.7 10. 技术 不 具备 4.3 
其 他 3 3 其 他 9.9 


图 2-1 是 Standish CHAOS 研 究 2004-2012 (每 两 年 一 次 ) 对 项 目 成 功率 、 质 疑 率 和 失败 率 的 调查 结果 。 从 图 中 可 以 看 出 ， 
近年 来 ， 软 件 项 目的 成 功率 基本 是 呈 逐 年 上 升 的 趋势 。 
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图 2-1 Standish CHAOS 2004-2012 软 件 项 目 成 功 失 败 率 


今天 软件 危机 昌 已 不 复 存 在 ， 但 是 软件 项 目 成 功率 却 始终 在 30%~40% 之 间 ， 约 60% 的 项 目 失败 或 出 现 超支 、 系 统 功能 不 完 
整 的 问题 。 这 也 表明 现今 软件 系统 越 来 越 复杂 ， 客 户 对 软件 的 功能 、 性 能 以 及 安全 性 的 要 求 越 来 越 高 ， 通 过 需求 分 析 了 解 描述 软 
件 的 实际 功能 和 性 能 变 得 尤其 重要 ， 它 直接 决定 了 软件 产品 的 功能 和 性 能 的 最 终 实现 。 


本 节 主 要 介绍 需求 的 定义 、 层 次 和 分 类 ， 使 读者 先 了 解 需求 分 析 中 的 重要 概念 及 其 重要 性 ; 在 此 基础 上 ， 又 介绍 了 安全 需求 
的 定义 以 及 安全 需求 工程 的 发 展 。 


2.2 ”安全 需求 分 析 方 法 


需求 分 析 是 软件 生命 周期 的 重要 一 步 ， 需 求 分 析 的 方法 也 是 鳞 次 栅 比 。 前 面 提 到 ， 安 全 需求 分 析 方 法 基本 都 是 对 传统 的 需求 
分 析 方 法 的 扩展 ， 即 在 原 有 的 需求 分 析 方 法 中 融入 安全 性 考量 。 本 节 首先 总 结 了 目前 常用 的 安全 需求 分 析 方 法 ， 并 对 其 原理 和 重 
要 步骤 等 加 以 前 述 ， 然 后 结合 实际 ， 分 析 目 前 产业 界 典型 的 软件 安全 开发 过 程 中 使 用 的 安全 需求 分 析 方 法 。 


第 3 章 ”软件 安全 设计 


软件 设计 处 于 软件 工程 的 核心 地 位 ， 开 发 中 不 管 使 用 何 种 开发 模式 ， 都 离 不 开 软 件 设计 。 当 软件 需求 分 析 和 定义 完成 后 进入 
软件 设计 阶段 ， 设 计 的 好 坏 直接 影响 软件 产品 的 质量 和 用 户 对 最 终 软件 产品 的 满意 程度 。 设 计 阶 段 要 构造 出 软件 实现 的 “ 蓝 
图 ”， 开 发 者 依照 设计 来 实现 软件 的 功能 和 性 能 ， 所 以 好 的 设计 是 开发 出 高 质量 软件 的 基础 。 


软件 设计 是 从 软件 需求 到 软件 实现 必 不 可 少 的 活动 ， 它 把 各 种 软件 需求 转换 为 可 以 直接 实现 的 软件 结构 。 对 于 大 型 软件 系统 


的 开发 和 维护 ， 需 要 开发 者 从 更 高 的 抽象 层次 关注 软件 。 为 了 提高 软件 设计 的 质量 ， 学 术 界 和 软件 工程 界 提出 了 多 种 软件 分 析 和 
设计 的 过 程 、 方 法 与 工具 ， 本 章 将 会 对 这 些 方 法 进行 介绍 。 另 外 ， 为 了 达到 控制 软件 复杂 性 、 提 高 软件 系统 质量 、 支 持 软 件 开发 
和 复 用 的 目的 ， 开 发 人 员 还 提出 了 软件 架构 的 概念 ， 本 章 也 将 对 此 进行 介绍 。 


总 地 来 说 ， 软 件 安全 设计 方法 是 一 套 在 软件 生产 过 程 中 关注 软件 安全 性 的 卓有成效 的 开发 步骤 和 流程 ; 软件 架构 是 一 系列 相 
关 的 抽象 模式 ， 用 于 指导 大 型 软件 系统 各 个 方面 的 设计 ， 对 软件 架构 进行 安全 分 析 可 以 及 早 发 现 软件 设计 中 的 安全 问题 ; 在 实际 
软件 生产 中 ， 微 软 提 出 的 威胁 建 模 方法 得 到 了 广泛 使 用 。 


3.1 软件 设计 与 安全 设计 
统计 发 现 ， 软 件 中 50%~75% 的 问题 是 在 设计 阶段 引入 的 ， 并 且 修 复 成 本 会 随 着 发 现时 间 的 推 后 而 增长 。 因 此 ， 在 设计 阶段 
进行 软件 架构 分 析 对 软件 的 安全 保障 起 着 决定 性 作用 ， 软 件 架构 分 析 也 提供 了 从 更 高 、 更 抽象 的 层次 保障 软件 安全 性 的 方法 。 


在 开发 中 ,一 些 设计 问题 可 能 会 使 程序 员 浪 费 大 量 的 时 间 在 不 必要 的 事情 上 。 例 如 编写 一 些 根 本 不 需要 的 代码 ， 这 些 代码 从 
来 没有 用 到 ， 反 而 可 能 与 系统 的 其 他 部 分 脱节 ， 存 在 安全 缺陷 ， 最 终 还 需要 程序 员 花 费 大 量 时 间 来 解决 。 存 在 设计 间 题 的 产品 一 
有 旦 被 应 用 ， 用 户 将 面临 危险 ， 损 失 无 法 估量 。 因 为 设计 错误 而 引起 损失 的 案例 有 很 多 ， 这 里 简单 介绍 几 个 。 


(1) 案例 一 


Microsoft Bob 程 序 是 作为 Windows ME 和 windows 98 的 辅助 程序 而 设计 的 。 它 有 一 个 设置 系统 密码 的 工具 。 当 用 户 连 续 
三 次 密码 输入 都 不 正确 时 ，Bob 将 弹出 “我 想 你 忘记 了 你 的 密码 ， 请 输入 一 个 新 的 密码 ”， 此 时 用 户 可 以 在 不 知道 原 有 密码 的 情 
况 下 重新 设置 系统 密码 。 


(2) 案例 二 


Therac-25 是 加 拿 大 原子 能 公司 生产 的 一 种 辐射 治疗 仪器 。 由 于 软件 设计 间 题 ， 使 用 时 剂量 设 定 超过 安全 范围 ， 导 致 在 1985 
年 6 月 到 1987 年 1 月 之 间 ， 发 生 六 起 患者 死亡 或 受到 严重 辐射 灼伤 的 医疗 事故 。 


(3) 案例 三 


2011 年 7 月 23 日 20 时 30 分 05 秒 ， 温 前 线 浙江 省 温州 市 境内 ， 由 北京 南 站 开 往 福州 站 的 D301 次 列车 与 杭州 站 开 往 福州 南 站 的 
D3115 次 列车 发 生动 车 组 列车 追尾 事故 ， 造 成 40 人 死亡 172 人 受伤 ， 中 断 行车 32 小 时 35 分 ， 直 接 经 济 损失 19371.65 万 元 。 调 查 
显示 ，“7.23” 动 车 事故 是 由 于 温州 南 站 信号 设备 在 设计 上 人 存在 严重 缺陷 ， 遭 雷击 发 生 故障 后 ， 导 致 本 应 显示 为 红 灯 的 区 间 信 和 号 
机 错误 显示 为 绿灯 。 


3.2 ”软件 安全 设计 方法 


设计 模式 首先 运用 于 软件 设计 ， 该 思想 应 用 在 安全 领域 ， 最 终 形成 了 一 套 基 于 模式 的 安全 设计 方法 。 本 节 将 介绍 基于 模式 的 
软件 安全 设计 方法 ， 以 及 三 种 广泛 应 用 于 产业 界 的 软件 安全 设计 方法 。 


3.3 ”软件 架构 安全 性 分 析 


软件 架构 设计 对 于 开发 高 质量 软件 具有 较 大 作用 ， 架 构 设计 将 定义 软件 模块 、 模 块 间 交 互 、 用 户 界面 风格 、 对 外 接口 以 及 高 
层 事物 对 象 操作 、 逻 辑 和 流程 。 软 件 架构 可 以 分 为 三 类 : 逻辑 架构 、 物 理 架 构 和 系统 架构 。 其 中 ， 风 辑 架 构 描 述 软 件 系 统 中 元 件 
之 间 的 关系 ， 比 如 用 户 界 面 、 数 据 库 、 外 部 系统 接口 等 等 ， 物 理 架构 描述 软件 部 件 在 硬件 上 的 部 署 方式 ， 系 统 架 构 说 明 系 统 的 非 
功能 性 特征 ， 如 可 扩展 性 、 可 靠 性 、 强 壮 性 、 灵 活性 、 性 能 等 等 。 


架构 视图 是 软件 架构 的 重要 组 成 部 分 。 它 是 整体 设计 的 抽象 或 简化 ， 通 过 舍弃 具体 细节 来 突出 重要 特征 。 软 件 架构 由 许多 不 
同 的 架构 视图 来 表示 ， 每 种 架构 视图 用 于 表示 开发 流程 中 最 终 用 户 、 设 计 人 员 、 管 理 人 员 、 系 统 工程 师 、 维 护 人 员 等 相关 人 员 所 
关注 的 内 容 。 


一 般 而 言 ， 软 件 架构 的 设计 首先 需要 理 清 业务 逻辑 的 功能 要 求 ， 了 解 业务 逻辑 的 变化 性 要 求 ， 包 括 可 维护 性 和 可 扩展 性 ， 分 
离 出 概要 业务 逻辑 层 。 接 着 ， 设 计 业 务 逻 辑 层 和 系统 其 他 部 分 的 接口 与 交互 关系， 按照 职责 分 离 原则 设计 包 、 类 、 方 法 、 消 息 ， 
设计 业务 逻辑 算法 。 然 后 ， 使 用 自 底 向 上 和 自 顶 向 下 相 结 合 的 方式 ， 不 断 渐进 地 迁 代 架 构 设计 。 


3.4 威胁 建 模 


在 前 面 提 到 的 各 种 安全 设计 方法 中 ，STRIDE 威 胁 建 模 方法 得 到 了 广泛 使 用 。 该 方法 贯穿 于 风险 分 析 流 程 ， 安 全 需求 分 析 和 
安全 设计 相互 融合 。STRIDE 威 胁 建 模 不 仅 可 以 应 用 于 安全 设计 ， 也 可 用 于 后 续 安全 开发 环节 。 


威胁 是 潜在 的 会 出 现 不 利 结果 的 事件 ， 如 信息 泄露 或 拒绝 服务 等 。 威 胁 建 模 是 了 解 系统 面临 的 安全 威胁 ， 确 定 威胁 的 风险 等 
级 ， 并 通过 适当 的 缓解 措施 来 提高 系统 安全 性 的 过 程 。 威 胁 建 模 以 一 种 规范 化 的 方式 来 考虑 应 用 程序 的 安全 性 ， 能 帮助 软件 开发 
人 员 在 设计 阶段 充分 了 解 各 种 安全 威胁 ， 对 可 能 的 风险 进行 管理 ， 并 指导 其 选择 适当 的 应 对 措施 ， 降 低 软件 的 受 攻击 面 。 该 方法 
还 可 以 重新 验证 软件 架构 和 设计 的 安全 性 ， 查 缺 补漏 ， 发 现 其 他 方式 难以 检测 的 、 由 一 系列 小 错误 形成 的 复杂 缺陷 ， 使 系统 更 加 
健壮 。 


在 威胁 建 模 过 程 中 起 主导 作用 的 是 软件 设计 者 、 开 发 人 员 和 测试 人 员 。 威 胁 建 模 的 对 象 并 不 一 定 是 一 个 完整 的 软件 。 根 据 需 
求 的 不 同 ， 建 模 对 象 可 以 是 整个 应 用 、 安 全 和 隐私 相关 的 功能 、 跨 信任 边界 的 功能 ， 等 等 。 


威胁 建 模 的 过 程 如 图 3-4 所 示 ， 分 为 建 模 、 威 胁 识别 、 威 胁 缓解 和 验证 四 个 步骤 。 每 个 步骤 都 有 多 种 实现 方法 ， 可 以 根据 需 
求 选择 使 用 合适 的 方法 。 


第 4 草 ”安全 编码 


软件 开发 中 ， 编 码 阶段 将 软件 设计 的 结果 转换 成 计算 机 可 运行 的 程序 代码 ， 编 码 阶 段 直接 决定 软件 系统 的 实现 质量 。 统 计数 
据 显示 ， 编 码 缺 陷 是 导致 软件 漏洞 的 最 主要 原因 之 一 。 因 此 ， 开 发 人 员 也 需要 了 解 掌 握 一 系列 安全 开发 相关 知识 。 本 章 首 先 介绍 
常见 漏洞 库 和 相应 的 漏洞 分 类 方法 ， 随 后 给 出 一 些 通用 的 安全 编码 准则 ， 最 后 分 类 介绍 在 开发 中 常见 的 漏洞 原理 以 及 如 何 避 免 这 


些 漏洞 。 


4.1 ”软件 漏洞 合 义 及 分 类 


安全 漏洞 是 信息 系统 存在 的 缺陷 ， 恶 意 代 码 利用 安全 漏洞 侵入 系统 。20 世 纪 七 十 至 八 十 年 代 ， 早 期 黑客 的 出 现 和 第 一 个 计 
算 机 病毒 的 产生 ， 使 软件 漏洞 逐渐 引起 人 们 的 天 注 。 


软件 在 需求 、 设 计 、 编 码 、 部 署 或 维护 等 阶段 中 ， 都 有 可 能 产生 漏洞 ， 尤 其 是 在 编码 阶段 ， 由 于 编程 语言 和 编程 逻辑 的 复杂 
性 ， 开 发 者 有 意 或 无 意 中 很 有 可 能 留 下 安全 问题 ， 形 成 代码 缺陷 。 安 全 编码 的 目的 是 为 了 尽 可 能 减少 软件 漏洞 。 


安全 漏洞 是 信息 安全 的 核心 问题 ， 对 安全 漏洞 的 研究 、 管 理 和 控制 分 类 十 分 重要 。 好 的 漏洞 管理 和 分 类 方法 ， 不 仅 可 以 实现 
漏洞 及 其 相关 信息 的 分 类 统计 ， 方 便 用 户 查 询 ， 还 可 以 让 程序 员 了 解 编程 开发 过 程 中 应 注意 的 问题 和 对 应 的 解决 办 法 ， 从 而 在 编 
程 实践 中 避免 产生 类 似 的 问题 。 


1. 中 国 国家 信息 安全 漏洞 库 


中 国 国家 信息 安全 漏洞 库 (China National Vulnerability Database of Information Security，CNNVD) 是 由 中 国信 息 
安全 测评 中 心 负责 建设 和 运 维 的 国家 级 信息 安全 漏洞 库 。 目 前 ，CNNVD 数 据 库 包含 了 信息 技术 代码 、 产 品 、 系 统 、 人 员 和 服务 
商 等 17 种 数据 。CNNVD 根 据 漏洞 形成 的 原因 ， 将 漏洞 分 为 22 种 类 型 ， 包 括 : 代码 注入 、 缓 ) 冲 区 溢出 、 跨 站 脚本 、 权 限 许 可 和 访 
问 控制 、 配 置 错误 、 路 径 遍 历 、 数 字 错 误 、SQL 注 入 、 输 入 验证 、 授 权 问 题 、 跨 站 请 求 伪 造 、 资 源 管理 错误 、 信 任 管理 、 加 密 问 
题 、 信 息 泄 露 、 竞 争 条 件 、 后 置 链接 、 格 式 化 字符 串 、 操 作 系 统 命 令 注 入 ， 设 计 错误 和 资料 不 足 和 其 他 。 


2. 国 家 信息 安全 漏洞 共享 平台 


国家 信息 安全 漏洞 共享 平台 (CNVD) 是 由 国家 互联 网 应 急 中 心 联合 国家 信息 技术 安全 研究 中 心 发 起 ， 由 国内 信息 安全 漏洞 
研究 机 构 、 厂 商 、 多 家 重要 信息 系统 单位 、 电 信 运 营 企业 、 互 联网 企业 和 软件 厂商 共 同 成 立 的 漏洞 库 共 建 共享 组 织 。CNVD 将 漏 
洞 分 为 : 输入 验证 错误 、 访 问 验证 错误 、 意 外 情况 处 理 错误 、 边 界 条 件 错误 、 配 置 错误 、 竞 争 条 件 、 环 境 错误 、 设 计 错误 、 缓 冲 
区 错误 、 其 他 错误 和 未 知 错误 等 。 


3. 美 国 国家 漏洞 数据 库 


美国 国家 漏洞 数据 库 (National Vulnerability Database，NVD) 是 由 美国 国家 标准 技术 研究 院 (NIST) 负责 技术 开发 和 
运 维 管理 的 。 该 漏洞 库 提 供 了 漏洞 类 型 、 严 重 程度 、 危 害 等 级 、 软 件 名 称 、 版 本 号 以 及 漏洞 历史 等 相关 统计 信息 。 


NVD 将 漏洞 主要 分 为 代码 注入 、 缓 冲 错误 、 跨 站 脚本 、 权 限 许 可 和 访问 控制 、 配 置 、 路 径 遍 历 、 数 字 错 误 、SQL 注 入 、 输 
入 验证 、 授 权 问 题 、 跨 站 请 求 伪造 、 资 源 管理 错误 、 信 和 任 管理 、 加 密 问题 、 信 息 泄 露 、 竞 争 条 件 、 后 置 链接 、 格 式 化 字符 串 、 操 
作 系 统 命令 注入 、 设 计 错误 和 资料 不 足 等 。 


Katrina Tsipenyuk、Brain Chess 和 Gary McGraw 提出 了 软件 编程 的 “七 种 有 害 领 域 ”， 也 称 “ 七 界 ” 分 类 。“ 七 界 ” 分 
类 法 将 软件 漏洞 分 成 七 类 : 输入 验证 与 表示 、API 误 用 、 安 全 特性 、 时 间 与 状态 、 错 误 处 理 、 代 码 质量 、 环 境 和 封装 。 每 一 类 又 
分 为 若干 小 类 ， 如 其 中 的 输入 认证 与 表示 又 可 以 细 分 为 : 缓冲 区 溢出 、 命 令 注 入 、 跨 站 脚本 、 格 式 化 字符 串 、HTTP 应 答 截断 、 
非法 指针 值 、 整 数 溢出 、 目 录 人 遍历 、 进 程控 制 、 资 源 注入 、 配 置 操控 、SQL 注 入 、 字 符 串 结束 错误 和 未 验证 的 返回 值 ; 误 用 APl 


又 细 分 为 目录 限制 、 堆 检查 、 认 证 误 用 、 异 常 处 理 误 用 、 路 径 操纵 误 用 、 权 限 管理 误 用 和 字符 串 操纵 等 小 类 。 
5.Web 应 用 漏洞 Top 10 


开放 Web 应 用 安全 项 目 (The Open Web Application Security Project，OWASP) 专门 对 Web 和 领域 出 现 的 漏洞 进行 研究 
和 分 类 ， 其 每 隔 三 年 提出 一 个 “Web 应 用 漏洞 前 10 名 (Top 10) ”的 列表 ， 是 Web 安 全 开发 需要 参考 的 重要 资料 之 一 。 该 列表 
总 结 了 Web 应 用 程序 最 可 能 、 最 常见 、 最 危险 的 十 大 安全 隐患 ， 以 帮助 IT 公司 和 开发 团队 来 规范 应 用 程序 开发 流程 和 测试 流 
程 ， 并 提高 Web 产 品 的 安全 性 。 


2013 年 ，OWASP 发 布 的 Web 应 用 漏洞 前 十 名 为 : 注入 、 失 效 的 身份 认证 和 会 话 管理 、 跨 站 脚本 (XSS) 、 不 安全 的 直接 对 
象 引用 、 安 全 配置 错误 、 敏 感 信息 泄露 、 功 能 级 访问 控制 缺失 、 跨 站 请 求 伪造 (CSRF) 、 使 用 含有 已 知 漏洞 的 组 件 、 未 验证 的 
重 定向 和 转发 。 


4.2 ”软件 安全 编码 原则 


软件 的 健壮 与 安全 在 很 大 程度 上 决定 了 该 软件 的 生命 力 和 影响 力 ， 而 构建 安全 软件 的 最 佳 途径 是 在 程序 分 析 、 开 发 、 测 试 阶 
段 增加 安全 考虑 。 在 做 好 安全 软件 开发 的 准备 之 后 ， 开 发 团队 还 应 当 清 楚 下 面 这 些 安全 编码 的 基本 原则 ， 这 是 开发 任何 健壮 、 安 
全 软件 的 重要 基础 。 针 对 软件 安全 编码 ， 国 际 国内 很 多 组 织 、 机 构 、 公 司 和 信息 安全 专家 各 自 提出 了 一 些 编码 原则 ， 以 保证 得 到 
安全 的 代码 。 常 见 的 安全 编码 原则 包括 以 下 内 容 。 


(1) 规范 编码 


在 程序 编码 中 必须 要 制定 统一 ， 符 合 标准 的 编写 规范 ， 以 保证 程序 的 可 读 性 ， 易 维护 性 ， 提 高 程序 的 运行 效率 。 安 全 专家 发 
现 ， 多 数 漏洞 很 容易 通过 使 用 一 些 规范 编码 的 方法 来 避免 ， 比 如 对 代码 进行 规范 缩 进 显示 ， 可 以 有 效 避 免 出 现 遗 漏 错误 分 支 处 理 
的 情况 。 


就 软件 安全 编码 而 言 ， 一 些 安全 组 织 和 企业 已 经 公开 了 一 些 编码 标准 和 规范 ， 可 以 供 软件 开发 团队 参考 ， 如 CERT 发 布 的 有 
关 C、C++、Java 等 语言 的 著名 安全 编码 标准 ,OWASP 也 发 布 了 《OWASP 安 全 编码 规范 快速 参考 指南 》。 同 时 ， 一些 企业 和 
安全 专家 撰写 的 一 些 安全 编码 书籍 ， 也 提出 了 不 少 有 益 的 安全 编码 原则 和 规范 参考 。 


(2) 代码 简洁 


要 尽量 使 程序 短小 精 悍 ， 代 码 中 每 个 函数 应 该 具有 明确 的 功能 ， 在 编写 函数 代码 时 ， 应 在 保持 功能 完整 实现 的 前 提 下 控制 该 
函数 内 代码 量 的 多 少 。 因 为 复杂 的 实现 更 容易 增加 代码 中 的 错误 。 程 序 越 复 杂 ， 就 需要 越 复杂 的 控制 。 如 碰 到 较为 复杂 的 功能 ， 
应 将 该 功能 分 解 为 更 小 、 更 简单 的 功能 ， 确 保 软 件 仅 包 含 所 要 求 或 规定 的 功能 ,缩短 并 简化 代码 。 


(3) 处 理 警 告 


通常 ， 开 发 团队 可 选择 实施 实现 了 安全 特性 的 编译 器 来 改善 安全 性 。 在 代码 开发 过 程 中 ， 应 当 在 最 大 程度 上 启用 编译 器 的 警 
告 和 错误 。 开 发 者 不 仅 要 处 理 和 解决 代码 中 的 错误 ， 而 且 也 应 处 理 和 解决 所 有 碰 到 的 警告 ， 确 保 不 将 任何 一 个 警告 带 入 到 程序 的 
最 终 编译 版 本 中 。 


(4) 验证 输入 


开发 者 在 开发 程序 时 必须 验证 来 自 所 有 不 可 信和 数据 源 的 输入 。 几 乎 大 部 分 攻击 都 是 通过 设计 “精心 的 输入 ”开始 的 ， 如 果 程 


序 不 能 正确 处 理 这 些 “ 输 入 ”， 就 有 可 能 运行 到 “攻击 者 指定 的 代码 ”中 。 合 适 的 输入 验证 可 以 清除 很 多 软件 漏洞 。 因 此 ， 开 发 
者 在 开发 程序 时 ， 必 须 对 外 部 的 数据 源 抱 着 怀疑 和 不 信任 的 态度 ， 其 中 包括 命令 行 参数 、 网 络 接口 、 环 境 变量 、 用 户 控 制 的 文件 


和 
一 o 


(5) 净化 数据 


所 谓 “ 净 化 ”是 指 检查 在 程序 组 件 中 要 传递 的 数据 ， 尤 其 是 将 恶意 数据 和 不 必要 的 数据 清除 干 净 。 比 如 在 利用 用 户 输入 的 数 
据 来 组 织 SQL 数 据 库 操作 语句 时 ， 应 当 检 查 和 清除 用 户 数据 中 可 能 存在 的 恶意 字符 ， 以 防止 攻击 者 使 用 SQL 注入 命令 来 攻击 系 
统 。 净 化 数据 和 输入 验证 的 区 别 在 于 ， 有 些 数 据 仅 在 使 用 时 才能 进行 净化 处 理 ， 并 不 适合 输入 时 就 进行 安全 检查 。 


(6) 最 少 反 馈 


最 少 反 馈 是 指 在 程序 内 部 处 理 时 ， 尽 量 将 最 少 的 信息 反馈 到 运行 界面 ， 即 避免 给 不 可 靠 用 户 过 多 的 可 利用 信息 ， 防 止 其 据 此 
青 测 软件 程 序 的 运行 处 理 过 程 。 最 少 反 馈 可 以 用 在 成 功 执行 的 流程 中 ， 也 可 以 用 在 发 生 错误 执行 的 流程 中 。 典 型 的 例子 如 用 户 名 
和 口令 认证 程序 ， 不 管 是 用 户 名 输入 错误 还 是 口令 输入 错误 ， 认 证 端 都 只 反馈 统一 的 “用 户 名 /口令 错误 ” ， 而 不 是 分 别 告 
知 “用 户 名 错误 ”或 “口令 错误 ”， 这 样 可 以 避免 攻击 者 根据 输入 正确 的 用 户 名 或 口令 来 猜测 未 知 口令 或 用 户 名 。 当 然 ， 软 件 程 
序 的 跟踪 检查 日 志 可 以 记录 较为 详细 的 程序 运行 信息 ， 这 些 信息 只 人 允许 有 权限 的 人 员 查 看 。 


(7) 检查 返回 


当 调用 的 组 件 函 数 返回 时 ， 应 当 对 返回 值 进行 检查 ， 确 保 所 调用 的 函数 “正确 ”处 理 ， 结 果 “ 正 确 ”返回 。 这 里 的 正确 是 指 
被 调用 的 组 件 函 数 按照 规定 的 流程 和 路 径 运 行 完成 ， 其 中 包括 成 功 的 执行 路 径 ， 也 可 能 包括 错误 的 处 理 路 径 。 当 组 件 函 数 调用 成 
功 时 应 当 检 查 返回 值 ， 确 保 组 件 按照 期 望 处 理 ， 并 且 返 回 结果 符合 预期 ， 如 执行 read (2) 时 所 读 取 的 字 节 数 可 能 少 于 所 请 求 的 
字 节 数 ; 当 组 件 冰 数 调用 错误 时 应 当 检查 返回 值 和 错误 码 ， 以 得 到 更 多 的 错误 信息 。 


(8) 加 强 检查 


良好 的 代码 检查 可 以 有 效 地 发 现 和 确认 漏洞 ， 它 被 认为 是 在 整个 项 目 中 最 具 效 率 的 漏洞 查找 方式 。 有 安全 研究 人 员 提出 ， 良 
好 的 检查 可 以 查 出 程序 中 60%~90% 的 漏洞 。 独 立 的 安全 检查 可 以 使 系统 更 安全 ， 也 有 助 于 确认 和 纠正 一 些 错误 的 设想 和 实现 方 
式 。 对 代码 进行 安全 检查 的 方法 可 以 通过 人 工 检查 的 方式 进行 ， 也 可 以 通过 工具 审核 的 方式 进行 。 相 比 人 工 检 查 ， 使 用 源 代码 审 
核 工具 自动 化 执行 代码 检查 和 分 析 ， 能 够 极 大 地 提高 软件 可 靠 性 并 节省 软件 开发 和 测试 的 成 本 。 


(9) 安全 编译 


即使 “聪明 的 ”编码 人 员 也 可 能 因为 经 验 不 足 而 犯 下 安全 错误 。 除 了 要 求 编码 人 员 提 高 程序 质量 之 外 ， 还 应 该 使 用 安全 编译 
技术 来 提高 编码 的 安全 水 平 。 最 常用 的 方法 就 是 采用 最 新 的 集成 编译 环境 ， 并 选择 使 用 这 些 编译 环境 提供 的 安全 编译 选项 和 安全 
编译 机 制 来 保护 软件 代码 的 安全 性 。 如 在 编译 C 语 言 时 ， 增 加 /GS 选项 可 以 增加 缓冲 区 的 安全 检查 ， 在 Visual Studio 2008 及 以 
上 版 本 中 ， 该 选项 是 默认 打开 的 。 


4.3 ”安全 编程 基础 


4.3.1 ”防范 缓冲 区 溢出 


缓冲 区 溢出 是 一 种 非常 普遍 的 危险 漏洞 ， 在 各 种 操作 系统 、 应 用 软件 中 广泛 人 存在。 多 个 著名 的 漏洞 攻击 事件 都 与 缓冲 区 溢出 
相关 ， 龙 动 一 时 的 “ 莫 里 斯 ”蠕虫 就 是 利用 的 缓冲 区 溢出 漏洞 。 


缓冲 区 溢出 是 指 当 计算 机 程序 向 缓冲 区 内 填充 数据 时 超过 了 缓冲 区 本 身 的 容量 而 产生 溢出 ， 导 致 程序 运行 异常 。 当 软件 程序 
对 输入 数据 长 度 检 查 不 够 ， 并 且 人 允许 超过 长 度 的 数据 存储 到 缓冲 区 中 ， 就 会 导致 缓冲 区 溢出 发 生 。 某 些 情况 下 ， 溢 出 的 数据 只 是 
覆盖 在 一 些 不 太 重要 的 内 存 空 间 上 ， 不 会 产生 严重 后 果 ; 但 是 一 旦 溢出 的 数据 覆盖 在 合法 数据 上 ， 就 有 可 能 会 给 系统 带 来 巨大 的 
危害 。 尤 其 是 攻击 者 经 过 精心 构造 数据 后 ， 可 以 让 缓冲 区 溢出 后 程序 运行 到 指定 的 代码 处 ， 从 而 达到 控制 或 破坏 系统 程序 的 目 
的 。 代 码 清单 4-1 展 示 了 缓冲 区 溢出 的 形成 原因 。 


代码 清单 4-1 缓冲 区 溢出 示例 


void function(char *input){ 
char buffer[16]; 
strcpy (buffer, input); 


在 代码 清单 4-1 中 ，strcpy () 直接 将 input 中 的 内 容 copy 到 buffer 中 。 只 要 input 的 长 度 大 于 16， 就 会 造成 buffer 的 溢出 。 
这 里 导致 缓冲 区 溢出 的 主要 原因 是 strcpy 函 数 没有 检查 输入 数据 的 长 度 。 


缓冲 区 溢出 可 以 导致 的 后 果 包 括 : 

. 程序 运行 失败 。 

. 系统 宕 机 ， 重 新 启动 。 

* 攻击 者 可 能 利用 它 执 行 非 授权 命令 ， 获 取 系 统 特权 ， 进 而 执行 各 种 非法 操作 。 
防范 缓冲 区 溢出 主要 有 以 下 四 种 方法 。 

(1) 避免 使 用 危险 函数 


5 语言 库 中 每 一 个 不 带 有 长 度 参数 的 串 操作 冰 数 ， 都 有 与 其 对 应 的 带 有 长 度 参数 的 函数 ， 应 该 尽 可 能 地 使 用 这 些 “ 更 安 
全 ”的 函数 ， 或 者 使 用 自己 封闭 的 安全 函数 ， 也 可 以 使 用 其 他 安全 函数 库 提供 的 安全 函数 。 


(2) 检查 数据 长 度 


要 在 本 地 应 用 程序 上 验证 所 有 的 用 户 输入 ， 首 先 要 确保 输入 字符 串 的 长 度 是 有 效 的 。 假 设 程序 设计 的 是 接受 50 个 文本 字符 
的 输入 ， 并 将 它们 添加 到 数据 库 里 。 如 果 用 户 输入 75 个 字符 ， 那 么 输入 就 超出 了 数据 库 可 以 容纳 的 字符 ， 程 序 将 进入 非 正常 运 
行 状态 。 因 此 ， 用 户 的 输入 应 该 这 样 设计 : 在 用 户 输入 文本 字符 串 时 ， 先 将 该 字符 串 的 长 度 同 最 大 允许 长 度 进行 比较 ， 拦 截 超过 
人 允许 最 大 长 度 的 输入 字符 串 。 


(3) 使 用 安全 函数 或 函数 库 


不 使 用 C 或 C+ + 语言 中 存在 缓冲 区 溢出 问题 的 冰 数 ， 改 用 一 些 更 安全 的 函数 ， 如 使 用 strcpy_s () 代替 strcpy () 。 此 外 ， 
也 可 以 使 用 一 些 知名 的 底层 库 来 代 蔡 使 用 C/C+ + 语言 提供 的 基础 库 ， 如 采用 Libmib、libsafe 等 ， 这 些 库 提 供 了 一 些 更 为 安全 的 
基础 函数 。 


(4) 其 他 防范 措施 


使 用 栈 保护 方法 也 可 以 在 一 定 程度 上 防御 缓冲 区 溢出 。 微 软 Visual Studio 中 通过 /GS 编译 开关 实现 了 栈 保护 技术 。 非 执行 堆 


栈 技术 也 能 够 对 攻击 起 到 较 好 的 防御 作用 ， 会 对 应 用 程序 的 兼容 性 产生 一 定 影响 ，Solar Designer 的 non-exec 补 本 (由 
OpenWall 使 用 ) 和 exec shield (由 Red Hat/Fedora 使 用 ) 都 是 实现 的 这 种 技术 。 


4.4 Web 应 用 安全 编程 


4.4.1 防 沁 SQL 注入 攻击 


SQL 注入 (SQL Injection) 攻击 是 指 把 恶意 SQL 命令 插入 到 Web 表 单 递交 、 输 入 域名 或 页 面 请 求 的 查询 字符 串 中 ， 使 服务 
器 执行 非 授权 操作 。 所 有 支持 SQL 语言 标准 的 数据 库 软 件 ， 如 Access、SQL Sewer、Oracle、MySQL、DB2 等 ， 接 收 用 户 输入 
数据 ， 但 没有 检查 输入 的 正确 性 ， 使 用 字符 串 连接 或 者 字符 串 蔡 换 函数 来 构造 SQL 查询 ， 或 者 使 用 SQL exec 命 令 (或 类 似 的 方 
法 ) 来 执行 SQL 查询 ， 都 有 可 能 遭受 该 攻击 。 


注入 攻击 的 本 质 是 把 用 户 输入 的 数据 当做 代码 执行 。 这 里 有 两 个 天 键 条 件 : 第 一 是 用 户 能 够 控制 输入 ; 第 二 是 程序 要 执行 的 
代码 拼接 了 用 户 输入 数据 。 


代码 清单 4-7 将 接收 用 户 输入 的 pname 参 数 ， 然 后 执行 SQL 查询 语句 。 如 果 用 户 输 入 是 “大 型 机 ” ， 则 查询 语句 
为 “select*from product where pname like “% 大 型 机 %” ” ， 执 行 结果 是 将 所 有 pname 包 含 大 型 机 的 内 容 显 示 出 来 。 如 果 
攻击 者 恶意 构造 输入 “aa%”; drop table product--”， 则 查询 语句 变 为 “select*from product where pname 
like “%aa%”; drop table product--%'” ”， 这 条 语句 首先 执行 select 查 询 ， 将 所 有 pname 包 含 aa 的 内 容 显示 出 来 ， 然 后 执 
行 “drop table product--” 语 句 ， 将 表 product 删 除 ， 表 product 中 所 有 数据 丢失 。 


代码 清单 4-7 ”SQL 注入 示例 


$sql = "select * from product where pname like '%" 
$ REQUEST["pname"] . "%'"; 
mysqli query ($1link,$sql); 


防止 SQL 注 入 最 常用 的 方法 有 : 使 用 预 编译 语句 (参数 化 查询 ) 、 使 用 存储 过 程 、 转 义 用 户 输入 。 


使 用 预 编译 语句 是 目前 防止 SQL 注入 的 最 佳 方法 。 参 数 化 查询 强制 开发 人 员 在 一 开始 就 定义 所 有 的 SQL 代码 ， 然 后 在 查询 时 
填 入 参数 ， 从 而 做 到 代码 与 数据 的 分 离 ， 忽 略 用 户 的 输入 。 不 同 语言 的 预 编译 语句 (参数 化 查询 ) 如 下 : 


“ Java EB 一 一 使 用 PreparedStatement () 来 绑 定 变量 。 
` .NET 一 一 使 用 类 似 SglCommand () 或 OlIsDbCommand () 的 参数 化 查询 来 绑 定 变量 。 


数据 对 象 (PDO) 扩展 定义 了 一 个 抽象 的 数据 库 接口 ， 提 供 预 处 理 语句 和 存储 过 程 的 参数 化 查询 。 


-PHP 
Hibetnate 使 用 createQuery () 来 绑 定 变量 。 
SQLite 使 用 sqlite3_prepatre () 来 创建 语句 对 象 。 


代码 清单 4-8 是 Java 中 预 编译 语句 的 使 用 方法 。 


代码 清单 4-8 ”Java 预 编译 语句 示例 


存储 过 程 将 SQL 语 句 定义 在 数据 库 中 。 需 


String custname = request.getParameter ("customerName"); // This should REALLY be validated too 


// perform input validation to detect attacks 

String query = "SELECT account balance FROM user data WHERE user name = ? ™; 
PreparedSstatement pstmt = connection.prepareStatement ( query ); 
pstmt.setSstring( 1, custname); 

ResultSet results = pstmt.executeQuery () ， 


代码 清单 4-9 是 C#.NET 中 预 编译 语句 的 使 用 方法 。 


代码 清单 4-9 ”C# 预 编译 语句 示例 


String query = 
"SELECT account balance FROM user data WHERE user name = 2?"; 

try { 
OleDbCommand command = new OleDbCommand (gquery, connection); 
command.Parameters.Add (new OleDbParameter ("customerName", CustomerName Name .Text) ) 
OleDbDataReader reader = command.ExecuteReader () ， 
/i 

} catch (OleDbException se) { 
// error handling 


代码 清单 4-10 是 PHP 中 绑 定 变量 的 方法 。 


代码 清单 4-10 PHP 绑 定 变量 示例 


$query = "INSERT INTO test (name,age,addr) VALUES (?,?,?)"; 
$stmt = $mysqli->prepare ($query); 

$stmt->bind param("sss", $vall, $val2, $val3); 

/* 传 入 Svall, Sval2, $val3*/ 

$stmt->execute (); 


除了 使 用 预 编译 语句 外 ， 还 可 以 使 用 安全 存储 过 程 来 防止 SQL 注 入 攻击 。 使 用 存储 过 程 的 效果 和 使 用 预 编 语句 类 似 ， 区 别 是 


的 内 SQL 语句 。 如 果 无 法 避免 ， 应 该 使 用 严格 的 输入 过 滤 或 者 是 编码 函数 来 处 理 用 户 输入 数据 。 


Java 中 使 用 存储 过 程 如 代码 清单 4-11 所 示 。 


代码 清单 4-11 Java 使 用 存储 过 程 示例 


注意 的 是 ， 人 存储 过 程 也 可 能 存在 注入 问题 ， 因 此 ， 应 尽量 避免 在 存储 过 程 中 使 用 动态 


String custname = request.getParameter ("customerName"); // This should REALLY be validated 


try { 
CallableStatement cs = connection.prepareCall("{call sp getAccount-Balance 
(?)}"); 
cs.setString(1, custname); 
ResultSet results = cs.executeQuery (); 
// * result set handling 
} catch (SQOLException se) { 
// * logging and error handling 


VB.NET 中 调用 存储 过 程 如 代码 清单 4-12 所 示 。 


代码 清单 4-12 VB 调用 存储 过 程 示例 


Try 
Dim command As SqlCommand = new SqlCommand ("sp getAccountBalance", connection) 
command.CommandType = CommandType.StoredProcedur 
command.Parameters.Add (new SqlParameter ("@CustomerName", CustomerName.Text)) 
Dim reader As SqlDataReader = command.ExecuteReader () 
Y os 


Catch se As SqlException 
' error handling 
End Try 


在 用 户 输入 放 到 查询 语句 前 进行 转 义 也 是 一 种 防范 SQL 注入 攻击 的 方法 。 如 果 应 用 程序 已 经 上 线 ， 需 要 修复 SQL 注入 漏洞 ， 
将 所 有 SQL 语句 重 写成 预 编译 语句 或 存储 过 程 是 非常 耗 时 的 ， 也 会 对 系统 性 能 造成 影响 ， 这 时 可 以 转 义 用 户 输入 。OWAsP 组 织 
提供 的 ESAPI 已 经 实现 了 转 义 功能 ， 例 如 ， 代 码 清单 4-13 可 以 使 用 代码 清单 4-14 来 实现 转 义 。 


代码 清单 4-13 ”SELECT 语句 组 织 示例 


String query = "SELECT user id FROM user data WHERE user name = '" + req.getParameter ("userID") 
+ "' and user password = '" + req.getParameter ("pwd") +""'"; 
try { 

Statement statement = connection.createStatement( … ); 

ResultSet results = statement.executeQuery( query ); 


} 


代码 清单 4-14 SQL 语句 转移 示例 


Codec ORACLE CODEC = new OracleCodec(); 

String query = "SELECT user id FROM user data WHERE user name = '" + 

ESAPI .encoder () .encoqeForSQL ( ORACLE CODEC, req.getParameter ("userID")) + "' and user password = "'" 
+ ESAPI.encoder () .encodeForSQL ( ORACLE CODEC, req.getParameter ("pwd")) +""'"; 


4.5 ”数据 安全 编程 
数据 对 于 应 用 程序 越 来 越 重 要 。 口 令 、 文 档 、 邮 件 、 合 同 、 研 究 报告 等 数据 都 和 现实 工作 紧密 相 联 ， 一 旦 友 生 数据 泄露 或 被 
黑客 伪造 身份 登录 系统 ， 后 果 将 十 分 严重 。 使 用 密码 学 技术 可 以 很 好 地 满足 对 相关 数据 的 安全 保护 需求 。 由 于 很 多 软件 开发 商 或 


程序 员 对 于 密码 学 了 解 不 多 ， 在 需要 对 数据 进行 安全 保护 的 时 候 ， 不 使 用 或 者 错误 地 使 用 密码 技术 ， 结 果 软 件 表面 上 很 安全 ， 实 
际 上 却 非常 容易 受到 攻击 。 最 常见 的 错误 包括 : 错误 地 使 用 加 密 算法 、 哈 希 算法 使 用 不 当 、 弱 随机 数 和 密 钥 管理 不 当 等 。 
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第 5 章 ”软件 安全 测试 
软件 安全 测试 是 验证 产品 是 否 满 足 安全 要 求 的 一 个 环节 ， 同 时 也 为 管理 层 提 供 信 息 来 判断 产品 是 否 可 以 发 布 。 本 章 介绍 软件 
安全 测试 的 基本 概念 ， 并 详细 描述 三 种 常用 的 软件 安全 测试 方法 及 测试 案例 。 
jp 全 CA 由 十 
5.1 软件 安全 测试 基础 


本 节 主 要 讨论 软件 安全 测试 的 原则 、 流 程 以 及 内 容 。 软 件 安全 测试 与 软件 测试 最 大 的 区 别 就 是 软件 安全 测试 会 把 安全 贯穿 在 
整个 测试 过 程 中 。 本 节 介绍 常用 的 安全 测试 流程 “四 阶段 ”方法 。 


5.2 ”代码 分 析 


代码 分 析 一 般 分 成 静态 代码 分 析 和 动态 代码 分 析 。 静 态 代 码 分 析 是 指 在 不 运行 程序 的 情况 下 ， 评 佑 代码 发 现 缺陷 。 程 序 员 在 
编码 阶段 经 常会 犯 一 些 错误 ， 其 中 一 些 错误 编译 器 会 提示 ， 还 有 一 些 错误 不 存在 语法 问题 ， 却 可 能 导致 安全 隐患 ， 如 没有 对 用 户 
输入 的 数据 进行 检查 导致 XSS 攻 击 等 。 这 类 问题 可 用 静态 代码 分 析 的 方法 来 解决 。 虽 然 渗透 测试 等 方法 也 可 以 发 现 这 类 漏洞 ， 但 
漏洞 修复 越 晚 成 本 越 高 。 动 态 代码 分 析 通 过 运行 程序 ， 发 掘 数据 流 和 具体 实现 方法 中 存在 的 缺陷 。 本 节 重 点 介绍 静态 代码 分 析 。 
在 安全 测试 领域 ， 常 见 的 静态 代码 分 析 包 括 源 代码 分 析 和 二 进 制 文件 分 析 。 


5.3 ”模糊 测试 


模糊 测试 Fuzz Testing) 是 一 种 软件 安全 测试 技术 ， 它 通过 监视 非 预期 输入 可 能 产生 的 异常 结果 来 发 现 软件 问题 ， 其 核心 
思想 是 自动 或 半自动 的 生成 随机 数据 输入 到 程序 中 ， 记 录 程 序 异常 ， 如 骨 溃 、 断 言 失败 等 ， 以 发 现 可 能 的 程序 错误 。 模 糊 测试 最 
早产 生 于 1988 年 威斯康星 大 学 Barton Miller 教 授 的 一 个 课程 实验 ， 实 验 内 容 是 开发 一 个 命令 行 模糊 器 ， 该 模糊 器 可 以 随机 生成 
输入 参数 以 测试 Unix 程 序 。 


模糊 测试 相当 于 对 系统 的 行为 做 一 个 随机 采样 分 析 。 通 过 模糊 测试 说明 软件 可 以 处 理 某 些 异常 情况 ， 不 会 月 溃 ， 但 并 不 能 说 
明 该 软件 的 行为 完全 正确 。 这 表明 模糊 测试 更 多 的 是 一 种 对 整体 质量 的 保证 ， 并 不 能 替代 全 面 的 测试 或 者 形式 化 方法 。 模 糊 测试 
可 以 提示 程序 哪些 部 件 需要 特别 注意 ， 对 于 这 些 部 件 可 以 进一步 使 用 静态 分 析 等 其 他 软件 安全 测试 方法 。 模 糊 测试 数据 更 多 的 是 
无 效 的 或 是 半 有 效 的 (测试 数据 有 一 部 分 是 对 的 ， 有 一 部 分 是 错 的 ) 。 测 试 中 随机 生成 的 测试 用 例 只 是 一 部 分 ， 很 多 还 需要 依靠 
人 的 分 析 与 经 验 推 导 生成 。 


5.4 “渗透 测 弃 


渗透 测试 通过 模拟 恶意 黑客 的 攻击 方法 来 评估 系统 的 安全 状况 ， 该 过 程 包括 对 系统 弱点 、 技 术 缺 陷 或 漏洞 的 分 析 。 渗 透 测试 
是 一 个 逐步 深入 的 过 程 ， 测 试 时 一 般 不 会 对 业务 系统 的 正常 运行 造成 影响 。 渗 透 测 试 发 现 的 问题 都 是 客观 存在 的 ， 也 较为 严重 ， 
但 是 它 只 能 履 盖 有 限 的 测试 点 。 渗 透 测试 主要 模拟 真实 场景 分 析 入 侵 者 可 能 的 攻击 途径 ， 系 统 部 署 完 成 后 才能 进行 测试 。 渗 透 测 
试 可 以 选择 使 用 自动 化 测试 工具 ， 测 试 人 员 的 能 力 和 经 验 也 会 直接 对 测试 效果 产生 影响 。 


渗透 测试 对 象 包括 操作 系统 、 数 据 库 、 应 用 系统 和 网 络 设备 五 种 类 型 。 其 中 ， 操 作 系统 渗透 测试 以 Windows、Solaris、 
AlIX、Linux、SCO、SGI 等 为 主要 目标 ; 数据 库 系 统 渗透 测试 以 MS-SQL、Oracle、MySQL、Informix、Sybase、DB2、 
Access 等 为 主要 目标 ; 应 用 系统 渗透 测试 包含 各 种 应 用 软件 或 程序 ， 如 AsP、CGI、JSP、PHP 等 组 成 的 Web 应 用 程序 ; 网络 设 
备 渗透 测试 包含 防火 墙 、 入 侵 检测 系统 等 。 


第 6 草 ”软件 部 署 和 项 目 管理 安全 


本 章 重 点 讲述 软件 开发 生命 周期 中 的 部 署 安全 和 项 目 管理 安全 相关 内 容 。 软 件 部 署 安全 部 分 首先 阐述 软件 部 署 的 一 般 过 程 ， 
其 次 介绍 应 用 软件 和 基础 环境 软件 的 安装 配置 和 常见 的 漏洞 处 理 方法 ， 最 后 给 出 安全 部 署 案例 。 针 对 软件 的 项 目 管理 ， 本 章 讨 论 
项 目 管理 中 和 安全 有 关 的 管理 关键 因素 ， 介 绍 团队 建设 和 风险 管理 在 项 目 管理 中 的 作用 。 


6.1 软件 部 署 安 全 


软件 发 布 后， 运行 阶段 错误 而 导致 的 软件 安全 问题 在 所 有 安全 问题 中 占有 较 大 比重 。 研 究 显示 ， 现 有 应 用 系统 中 由 于 安全 配 
置 错 误导 致 的 安全 漏洞 已 经 成 为 系统 漏洞 的 主要 来 源 之 一 。OWASP 组 织 发 布 的 Web 十 大 漏洞 中 ，2010 年 软件 配置 错误 位 列 第 
六 ，2013 年 软件 配置 错误 上 升 至 第 五 位 。 软 件 安全 专家 Pravir Chandra 在 创建 软件 保证 成 熟 度 模型 (SAMM) 时 强调 了 软件 部 
署 对 于 软件 安全 的 重要 性 ， 研 究 了 软件 发 布 和 部 署 时 相关 的 过 程 、 活 动 和 措施 ， 要 求 从 漏洞 管理 、 环 境 加 固 和 操作 激活 等 三 项 内 
容 进 行 安全 实践 。 微 软 也 十 分 重视 软件 发 布 之 后 的 安全 响应 ， 其 提出 的 安全 开发 生命 周期 (SDL) 模型 中 在 软件 发 布 阶段 之 后 设 
置 了 响应 阶段 。 该 阶段 重点 关注 软件 的 安全 事件 和 漏洞 报告 ， 以 及 指导 如 何 进行 漏洞 修复 和 应 急 响 应 。 软 件 部 署 影响 着 整个 软件 
过 程 的 运行 效率 和 投入 成 本 ， 软 件 系统 部 署 的 管理 代价 占 到 整个 软件 管理 开销 的 绝 大 多 数 。 


由 此 可 见 ， 软 件 部 署 是 软件 安全 开发 生命 周期 中 的 一 个 重要 环节 ， 其 中 软件 自身 安全 以 及 软件 运行 环境 安全 起 着 天 键 作用 ， 
提高 软件 部 署 和 配置 的 安全 性 迫在眉睫 。 本 节 将 介绍 软件 部 署 的 一 般 过 程 ， 然 后 从 两 个 方面 讨论 如 何 加强 软 件 的 部 署 安全 : 一 方 
面 是 应 用 软件 本 身 的 安装 配置 与 漏洞 处 理 ; 另 一 方面 是 应 用 软件 运行 基础 环境 的 常用 配置 措施 及 漏洞 处 理 方式 。 


6.2 ”软件 项 目 管理 安全 


随 着 信息 技术 的 广泛 应 用 ， 软 件 项 目的 规模 越 来 越 大 ， 复 杂 程 度 越 来 越 高 ， 投 资 也 在 不 断 增长 。 为 了 管理 好 规模 和 复杂 性 都 
在 不 断 增长 的 软件 项 目 ， 使 软件 项 目的 运作 从 “作坊 ”向 “软件 工厂 ”的 模式 发 展 ， 许 多 软件 企业 都 积极 将 软件 项 目 管理 引入 到 
开发 活动 中 去 。 


软件 项 目 管理 作为 一 种 科学 的 管理 手段 ， 就 是 为 了 使 软件 项 目 能 够 按照 预定 的 成 本 、 进 度 、 质 量 顺利 完成 ， 而 对 成 本 、 人 
员 、 进 度 、 质 量 、 风 险 等 进行 分 析 和 管理 的 一 系列 活动 。 软 件 开发 是 一 个 极 具 挑战 性 和 创造 性 的 行业 ， 管 理 上 没有 成 熟 的 经 验 可 
供 借鉴 。 而 软件 项 目 管理 应 该 说 对 于 软件 企业 ， 尤 其 是 那些 以 应 用 开发 与 系统 集成 为 主 的 软件 企业 ， 是 行 之 有 效 的 管理 方法 。 
此 ， 决 定 一 个 软件 项 目 实施 成 功 与 否 ， 软 件 项 目 管理 无 疑 起 着 举足轻重 的 作用 ， 软 件 项 目 管理 已 经 是 公认 的 软件 开发 企业 的 核心 
竞争 力 之 一 。 


很 多 企业 在 软件 开发 生命 周期 中 融入 了 安全 考量 ， 其 中 项 目 安全 管理 更 是 必 不 可 少 。 本 节 系 统 地 阐述 了 软件 项 目 管理 生命 周 
期 中 各 个 阶段 应 注意 的 安全 要 点 ， 并 重点 介绍 了 安全 团队 建设 和 项 目 风险 管理 。 


附录 A ”CC 标准 中 的 安全 功能 需求 类 与 安全 保障 类 


CC 标准 的 核心 思想 之 一 是 将 信息 系统 的 安全 功能 与 安全 保证 相互 独立 ， 为 了 规范 化 安全 需求 ，CC 标 准 中 定义 了 11 种 安全 功 
能 需求 类 和 8 种 安全 保障 类 。 


11 种 安全 功能 需求 类 别 如 下 。 
(1) 安全 审计 (FAU) 


在 识别 、 记 录 、 存 储 和 分 析 安 全 相关 的 活动 时 ， 不 可 能 把 所 有 可 能 的 审计 功能 都 启用 ， 所 以 需要 鉴别 哪些 活动 需要 是 可 审计 
的 。 


(2) 通信 /不 可 抵赖 (FCO) 
这 类 安全 功能 需求 官方 的 名 称 是 “通信 ” ， 但 实际 是 说 的 不 可 抵赖 。 对 于 一 些 系统 来 说 支持 不 可 抵赖 性 是 非常 重要 的 。 


(3) 密码 支持 (FCS) 


如 果 系 统 中 用 的 信息 加 密 ， 通 过 什么 操作 来 加 密 、 选 用 什么 加 密 算法 和 密 铀 大 小 、 怎 样 管理 密 钥 等 都 是 需要 考虑 的 。 


(4) 用 户 数据 保护 (FDP) 


这 类 需求 在 CC 的 安全 功能 需求 族 是 一 个 大 类 。 主 要 的 思想 是 选取 一 种 保护 数据 的 策略 (访问 控制 或 信息 流 规则 ) ， 然 后 用 
各 种 方法 来 实现 这 个 策略 ， 可 能 要 支持 离线 存储 、 导 入 和 导出 ， 当 在 不 同 评估 对 象 间 传 递 用 户 数据 时 还 要 保证 其 完整 性 。 一 个 很 
容易 忽视 的 问题 是 残留 信息 的 保护 ， 因 为 攻击 者 可 能 恢复 已 删除 的 数据 。 


(5) 标识 和 鉴别 (FIA) 


验证 用 户 身份 的 过 程 叫 作 鉴 别 ， 一 般 通 过 用 户 输入 密码 的 方式 实现 。 可 能 需要 限制 鉴别 的 总 次 数 (如 三 次 密码 都 输入 错误 则 
限制 登入 ) 和 鉴别 过 程 中 的 反馈 (如 输入 密码 的 显示 用 星 号 代 蔡 ) ， 还 要 限制 用 户 在 被 鉴别 之 前 可 以 在 系统 内 做 的 事情 。 


(6) 安全 管理 (FMT) 
确定 系统 中 哪些 用 户 可 以 作为 更 可 信 的 角色 ， 如 系统 管理 员 ， 确 定 这 些 角色 可 以 做 哪些 操作 。 
(7) 隐私 (FPR) 


如 果 系统 需要 支持 匿名 、 假 名 、 不 可 链接 性 、 不 可 观察 性 ， 需 要 确定 是 否 有 支持 这 些 性 质 的 条 件 (如 系统 管理 员 是 否 可 以 看 
到 一 个 假名 用 户 的 真实 身份 ”) 。 实 现 这 一 需求 可 能 会 和 不 可 抵赖 性 发 生 冲 突 。 


(8) TOE (评估 对 象 ) 安全 功能 保护 /自我 保护 (FPT) 
如 果 TOFE 是 可 以 被 破坏 的 ， 那 么 它 提供 的 安全 功能 都 不 值得 了 。 许 多 情况 下 TOE 必 须 提 供 一 些 自我 保护 的 措施 。 
(9) 资源 利用 (FRU) 

系统 可 能 需要 提供 一 定 的 容错 性 、 服 务 的 优先 级 和 资源 分 配方 式 。 

(10) TOE 访 问 (FTA) 


在 控制 会 话 方面 可 能 会 出 现 很 多 问题 ， 比 如 需要 控制 并 发 的 会 话 的 数量 ， 需 要 自动 地 锁 住 或 终止 一 个 会 话 ， 让 用 户 初 始 化 一 
个 会 话 锁 。 系 统 可 能 需要 包含 一 套 标 准 的 警告 标语 ， 可 以 显示 最 后 一 个 会 话 的 登录 信息 (登录 时 间 、 地 点 ) ， 这 样 可 以 帮助 用 户 
检测 入 侵 者 。 


(11) 可 信 路 径 /信道 


攻击 者 经 常 使 用 的 一 种 把 戏 是 使 得 屏幕 显示 不 该 显示 的 东西 ， 所 以 我 们 有 必要 确认 我 们 的 通信 路 径 是 可 信 的 ， 保 证 我 们 在 运 
行 我 们 想 要 的 程序 。 


CC 标准 定义 了 8 种 安全 保障 类 ， 以 及 预定 义 的 保障 需求 一 一 评估 保障 等 级 (Evaluate Assurance Levels，EAL) 。EAL 共 有 
7 个 等 级 ， 从 低 到 高 依次 是 : 功能 测试 级 、 结 构 测试 级 、 系 统 测试 和 检查 级 、 系 统 设 计 、 测 试 和 复查 级 、 半 形式 化 设计 和 测试 
级 、 半 形式 化 验证 的 设计 和 测试 级 ， 以 及 形式 化 验证 的 设计 和 测试 级 。8 种 安全 保障 类 别 如 下 。 


(1) 保护 轮廓 评估 (APE 类 ) 


PP 评估 要 求证 实 PP 是 技术 合理 和 内 部 一 致 的 ， 并 且 ， 如 果 PP 是 基于 一 个 或 多 个 PP 或 者 包 ， 那 么 PP 必须 是 这 些 PP 或 包 的 一 
个 正确 的 实例 化 。PP 适 合作 为 编写 ST 或 其 他 PP 的 基础 ， 这 些 属性 是 必需 的 。 


(2) 安全 目标 评估 (ASE 类 ) 


ST 评估 要 求 论证 ST 是 合理 和 内 在 一 致 的 ， 如 果 ST 是 基于 一 个 或 多 个 PP 或 者 包 ， 那 么 ST 必须 是 PP 或 包 的 一 个 正确 的 实例 化 。 
ST 作为 TOE 评 估 的 基础 ， 这 些 属性 是 必需 的 。 


(3) 开发 (ADV 类 ) 


开发 类 的 安全 要 求 提供 了 TOE 的 相关 信息 。 从 这 些 信息 中 所 获得 的 知识 可 作为 执行 TOE 脆 弱 性 分 析 和 测试 的 基础 ， 正 如 AVA 
和 ATE 类 中 所 描述 的 那样 。 


(4) 指导 性 文档 (AGD 类 ) 


指导 性 文档 类 为 所 有 用 户 角 色 提 供 了 指南 文档 的 要 求 。 为 了 安全 地 准备 和 操作 TOE， 有 必要 描述 所 有 有 关 TOE 安 全 操作 方面 
的 内 容 ， 这 个 类 同时 也 描述 了 无 意 的 错误 配置 和 操作 TOE 的 情况 。 


(5) 生命 周期 支持 (ALC 类 ) 


生命 周期 支持 是 在 开发 和 维护 期 间 建立 规则 和 对 TOE 的 细 化 过 程 进行 控制 。 如 果 安 全 分 析 和 证 据 的 产生 均 能 够 作为 开发 和 维 
护 活动 的 主要 组 成 部 分 有 规律 地 进行 ， 那 么 将 增强 对 TOE 安 全 要 求 和 TOE 之 间 一 致 性 的 信心 。 


(6) 测试 (ATE 类 ) 


“测试 ”类 包括 四 个 族 : 覆盖 (ATE_ COV) ， 深 度 (ATE_DPT) ， 独 立 测试 (例如 由 评估 者 执行 的 功能 测试 ) 
(ATE_IND) ， 功 能 测试 (ATE_FUN) 。 测 试 能 为 TSF 是 否 符合 前 面 所 述 (功能 规范 ，TOE 设 计 及 实现 描述 ) 提供 保障 。 


(7) 脆弱 性 评定 (AVA 类 ) 
脆弱 性 评定 类 负责 处 理 在 TOE 开 发 或 者 运行 过 程 中 引入 可 被 利用 脆弱 性 的 可 能 性 。 
(8) 组 合 (ACO 类 ) 


ACO“ 组 合 ” 类 包括 五 个 族 。 本 族 列 出 的 保障 要 求 ， 是 为 了 提供 确信 一 个 组 合 TOE 依 靠 过 去 评估 过 的 软件 、 固 件 或 硬件 等 
组 成 部 分 所 提供 的 安全 功能 是 能 够 安全 运行 的 信心 。 


安全 保障 类 均 对 软件 安全 开发 有 重要 指导 作用 。 其 中 与 安全 开发 密切 相关 的 开发 (ADV) 类 共 包 括 6 个 族 ， 开 发 (ADV) 类 
族 在 不 同 级 别 和 不 同 抽象 形式 上 组 织 和 表示 TOE 安 全 功能 。 


(1) 安全 架构 (ADV_ARC) 


本 族 的 目的 是 让 开发 者 提供 对 TSF 安 全 架构 的 描述 。 人 允许 额外 提供 的 其 他 TSF 证 据 对 这 些 信息 进行 分 析 ， 这 些 信息 将 确保 
TSF 达 到 期 望 的 属性 。 安 全 架构 描述 支持 隐 含 的 声明 ， 即 通过 检测 TSF 所 能 获得 的 TOE 安 全 分 析 ; 如 果 没有 合理 的 架构 ， 则 必须 
使 查 TOE 全 部 的 功能 特性 。 


(2) 功能 规范 (ADV_FSP) 


本 族 提出 了 针对 功能 规范 的 要 求 ， 该 规范 描述 了 TSF 接 口 (TSFI) 。TSFI 包 括 所 有 的 通过 外 部 实体 (或 者 位 于 TSF 之 外 TOE 
内 部 的 主体 ) 向 TSF 提 供 数 据 、 接 收 来 自 于 TSF 的 数据 并 且 调 用 TSF 的 服务 的 方法 。 它 并 不 描述 TSF 如 何 处 理 那些 服务 请 求 ， 也 不 
描述 当 TSF 调 用 运行 环境 的 服务 时 的 通信 ; TOE 设 计 族 (ADV_TDS) 和 依赖 模块 的 依赖 性 族 (ACO_REL) 将 分 别 描述 这 些 内 


DR 


合 。 
(3) 实现 表示 (ADV_IMP) 


实现 表示 (ADV_IMP) 族 的 功能 是 让 开发 者 以 评估 者 能 够 分 析 的 形式 来 制定 TOE 的 实现 表示 (并 且 在 高 级 别 中 实现 
TOE) 。 在 分 析 其 他 族 (例如 分 析 TOE 设 计 ) 的 活动 中 用 实现 表示 来 论证 TOE 符 合 其 设计 ， 以 及 为 其 他 部 分 的 评估 (例如 查找 脆 
弱 性 ) 分 析 提 供 基础 。 实 现 表 示 应 详细 说 明 TsF 的 内 部 工作 ， 可 以 包括 软件 代码 、 固 件 代 码 、 硬 件 图 表 和 /或 |C 硬 件 设计 代码 或 
者 设计 数据 等 。 


(4) TSF 内 部 (ADV_INT) 


本 族 负责 评估 TsF 的 内 部 结构 。 内 部 结构 合理 的 TSF 容 易 实 现 并 且 可 能 导致 脆弱 性 的 缺陷 也 较 少 ;因为 无 缺陷 引入 ， 也 更 加 


容易 维护 。 
(5) 安全 策略 模型 (ADV_SPM) 


本 族 目 的 是 通过 建立 一 个 形式 化 的 TSF 安 全 策略 模型 ， 以 及 功能 规范 与 安全 策略 模型 之 间 的 对 应 关系 来 提供 额外 的 保障 。 为 
了 保持 内 部 一 致 性 ， 安 全 策略 模型 期 望 能 通过 数学 证 明 的 方式 来 建立 形式 化 的 安全 规则 。 


(6) TOE 设 计 (ADV_TDS) 


TOE 的 设计 描述 提供 了 与 TSF 描 述 的 上 下 文 ， 以 及 对 TSF 的 详尽 描述 。 随 着 保障 要 求 的 增加 ， 在 说 明 中 提供 的 详细 程度 也 随 
之 增加 。 随 着 TSF 规 模 和 复杂 性 的 增加 ， 适 合 多 级 分 解 。 设 计 要 求 的 目的 是 提供 信息 (与 给 定 的 保障 级 别 相称 的 ) ， 这 样 能 够 实 
现 安全 功能 要 求 。 


附录 B 安全 编码 规范 检查 列表 


安全 编码 规 学 检查 列表 是 对 程序 员 快速 发 现 自己 的 代码 中 是 否 存 在 安全 问题 的 利器 。 每 个 公司 都 会 根据 公司 自身 的 技术 特点 
来 制定 安全 编码 规范 。 这 里 附 上 OWASP 组 织 制定 的 通用 安全 编码 规范 检查 列表 。 


B.1 输入 验证 


* 在 可 信 系 统 〈 比 如 服务 器 ) 上 执行 所 有 的 数据 验证 。 

: 识别 所 有 的 数据 源 ， 并 将 其 分 为 可 信 的 和 不 可 信 的 。 验 证 所 有 来 自 不 可 信 数 据 源 〈 比 如 数据 库 、 文 件 流 等 ) 的 数据 。 
. 应 当 为 应 用 程序 应 提供 一 个 集中 的 输入 验证 规则 。 

-为 所 有 输入 明确 恰当 的 字符 集 ， 比 如 UTF-8。 

在 输入 验证 前 ， 将 数据 按照 常用 字符 进行 编码 (规范 化 ) 。 

- 丢弃 任何 没有 通过 输入 验证 的 数据 。 

.确定 系统 是 否 支持 UTF-8 扩 展 字符 集 ， 如 果 支 持 ， 在 UTEF-8 解 码 完成 以 后 进行 输入 验证 。 


* 在 处 理 以 前 ， 验 证 所 有 来 自 客户 端的 数据 ， 包 括 所 有 参数 、URL、HTTP 头 信息 (比如 cookie 名 字 和 数据 值 ) 。 确 定 包括 
了 来 自 JavaSctipt、Flash 或 其 他 瞪 入 代码 的 post back 信 息 。 


. 验证 在 请 求 和 响应 的 报头 信息 中 只 含有 ASCII 字 符 。 


* 核实 来 自重 定向 输入 的 数据 (一 个 攻击 者 可 能 重 定向 的 目标 直接 提交 恶意 代码 ， 从 而 避 开 应 用 程序 逻辑 以 及 在 重 定向 前 执 


行 的 任何 验证 ) 。 
. 验证 正确 的 数据 类 型 。 
“ 验证 数据 范围 。 
" 验证 数据 长 度 。 
" 尽 可 能 采用 “和 白 名 单 ” 形 式 验证 所 有 的 输入 。 


" 如 果 任 何 潜在 的 危险 字符 必须 被 作为 输入 ， 请 确保 执行 了 额外 的 控制 ， 比 如 : 输出 编码 、 特 定 的 安全 API 以 及 在 应 用 程序 


» » 


中 使 用 的 原因 。 部 分 常见 的 危险 字符 包括 : <>” ”% () &+N AN 。 
. 如 果 您 使 用 的 标准 验证 规则 无 法 验证 下 面 的 输入 ， 那 么 它们 需要 被 单独 验证 : 
“ 验证 空 字 节 〈%00) ; 
* 验证 换行 符 〈%0d，%0a，Nr，Nn) ; 


.验证 路 径 替 代 字 符 “ 点 -点 - 斜 本 ” (http://www.hzcourse.com/resource/readBook? 
path=/opentesoutces/teach_ebook/uncomptessed/15868/OEBPSVText/../ 或 http://www.hzcoufse.comyVtesoutce/teadBook? 
path=/openresources/teach_ebook/uncompressed/15868/OEBPS/Text/..\) 。 如 果 支 持 UTF-8 扩 展 字符 集 编码 ， 验 证 替代 字符 : 


%c0%ae%c0%ae (使 用 规范 化 验证 双 编 码 或 其 他 类 型 的 编码 攻击 ) 。 


B.2 输出 编码 
“ 在 可 信和 系统 (比如 服务 器 ) 上 执行 所 有 的 编码 。 
. 为 每 一 种 输出 编码 方法 采用 一 个 标准 的 、 已 通过 测试 的 规则 。 


` 通过 语义 输出 编码 方式 ， 对 所 有 返回 到 客户 端的 来 自 于 应 用 程序 信任 边界 之 外 的 数据 进行 编码 。HTML 实 体 编码 是 一 个 例 


子 ， 但 不 是 在 所 有 情况 下 都 可 用 。 


除非 对 目标 编译 器 是 安全 的 ， 否 则 请 对 所 有 字符 进行 编码 。 


“ 针对 SQL，XML 和 LDAP 查 询 ， 语 义 净化 所 有 不 可 信和 数据 的 输出 。 


` 对 于 操作 系统 命令 ， 净 化 所 有 不 可 信和 数据 输出 。 


B.3 ”身份 验证 和 密码 管理 


* 除了 那些 特定 设 为 “公开 ”的 内 容 以 外 ， 对 所 有 的 网 页 和 资源 要 求 身份 验证 。 
所 有 的 身份 验证 过 程 必须 在 可 信和 系统 (比如 服务 器 ) 上 执行 。 
. 在 任何 可 能 的 情况 下 ， 建 立 并 使 用 标准 的 、 已 通过 测试 的 身份 验证 服务 。 


: 为 所 有 身份 验证 控制 使 用 一 个 集中 实现 的 方法 ， 其 中 包括 利用 库 文 件 请 求 外 部 身份 验证 服务 。 


. 将 身份 验证 逻辑 从 被 请 求 的 资源 中 隔离 开 ， 并 使 用 重 定向 到 或 来 自 集 中 的 身份 验证 控制 。 
. 将 所 有 的 身份 验证 控制 应 当 安全 的 处 理 未 成 功 的 身份 验证 。 
. 所 有 的 管理 和 账户 管理 功能 至 少 应 当 具 有 和 主要 身份 验证 机 制 一 样 的 安全 性 。 


" 如 果 您 的 应 用 程序 管理 着 凭证 的 存储 ， 那 么 应 当 保 证 只 保存 了 通过 使 用 强加 密 单 向 salted 哈 希 算法 得 到 的 密码 ， 并 且 只 有 
应 用 程序 具有 对 保存 密码 和 密 钥 的 表 / 文 件 的 写 权 限 (如果 可 以 避免 的 话 ， 不 要 使 用 MD5 算 法 ) 。 


` 密码 哈 希 必须 在 可 信和 系统 (比如 服务 器 ) 上 执行 。 
“ 只 有 当 所 有 的 数据 输入 以 后 ， 才 进行 身份 验证 数据 的 验证 ， 特 别 是 对 连续 身份 验证 机 制 。 


. 身份 验证 的 失败 提示 信息 应 当 避 免 过 于 明确 。 比 如 可 以 使 用 “用 户 名 和 /或 密码 错误 ”， 而 不 要 使 用 “用 户 名 错误 ”或 
者 “密码 错误 ”。 错 误 提 示 信 息 在 显示 和 源 代 码 中 应 保持 一 致 。 


为 涉及 敏感 信息 或 功能 的 外 部 系统 连接 使 用 身份 验证 。 


* 用 于 访问 应 用 程序 以 外 服务 的 身份 验证 凭据 信息 应 当 加 密 ， 并 存储 在 一 个 可 信 系 统 ( 比 如 服务 器 ) 中 受到 保护 的 地 方 。 源 


代码 不 是 一 个 安全 的 地 方 。 
“ 只 使 用 HTTP Post 请 求 传输 身份 验证 的 凭据 信息 。 
: 非 临 时 密码 只 在 加 密 连 接 中 发 送 或 作为 加 密 的 数据 (比如 一 封 加 密 的 邮件 ) 。 通 过 邮件 重 设 临时 密码 可 以 是 一 个 例外 。 


通过 政策 或 规则 加 强 密码 复杂 度 的 要 求 ( 比 如 要 求 使 用 字母 、 数 字 和 /或 特殊 符号 ) 。 身 份 验 证 的 凭据 信息 应 当 足 够 复杂 
以 对 抗 在 其 所 部 署 环境 中 的 各 种 威胁 攻击 。 


通过 政策 和 规则 加 强 密码 长 度 要 求 。 常 用 的 是 8 个 字符 长 度 ， 但 是 16 个 字符 长 度 更 好 ， 或 者 考虑 使 用 多 单词 密码 短语 。 
. 输入 的 密码 应 当 在 用 户 的 屏幕 上 模糊 显示 (比如 在 Web 表 单 中 使 用 “password” 输 入 类 型 ) 。 


. 当 连 续 多 次 登录 失败 后 (通常 情况 下 是 5 次 ) ， 应 强制 锁定 账户 。 账 户 锁定 的 时 间 必 须 足 够 长 ， 以 阻止 暴力 攻击 猜测 登录 
信息 ， 但 是 不 能 长 到 允许 执行 一 次 拒绝 服务 攻击 。 


: 密码 重 设 和 更 改 操作 需要 类 似 于 账户 创建 和 身份 验证 的 同样 控制 等 级 。 


. 密码 重 设 问 题 应 当 支 持 尽 可 能 随机 的 提问 (比如 “最 喜爱 的 书 ” 是 一 个 坏 的 问题 ， 因 为 《圣经 》 是 最 常见 的 答案 ) 。 


" 如 果 使 用 基于 邮件 的 重 设 ， 只 将 临时 链接 或 密码 发 送 到 预先 注册 的 邮件 地 址 。 


` 临时 密码 和 链接 应 当 有 一 个 短暂 的 有 效 期 。 


当 再 次 使 用 临时 密码 时 ， 强 制 修改 临时 密码 。 


当 密 码 重 新 设置 时 ， 通 知 用 户 。 


" 阻止 密码 重复 使 用 。 


` 密码 在 被 更 改 前 应 当 至 少 使 用 了 一 天 ， 以 阻止 密码 重用 攻击 。 


* 根据 政策 或 规则 的 要 求 ， 强 制定 期 更 改 密码 。 关 键 系统 可 能 会 要 求 更 频繁 的 更 改 。 更 改 时 间 周 期 必须 进行 明确 。 


为 密码 填写 框 禁用 “ 记 住 密码 ”功能 。 


: 用 户 账号 的 上 一 次 使 用 信息 (成 功 或 失败 ) 应 当 在 下 一 次 成 功 登 录 时 向 用 户 报告 。 


` 执行 监控 以 确定 针对 使 用 相同 密码 的 多 用 户 账号 攻击 。 当 用 户 ID 可 以 被 得 到 或 被 猜 到 时 ， 该 攻击 模式 用 来 绕 开标 准 的 锁 


死 功能 。 


* 更 改 所 有 厂商 提供 的 默认 用 户 ID 和 密码 ， 或 者 禁用 相关 账号 。 


* 在 执行 关键 操作 以 前 ， 对 用 户 再 次 进行 身份 验证 。 


* 为 高 度 敏感 或 重要 的 交易 账户 使 用 多 因子 身份 验证 机 制 。 


. 如 果 使 用 了 第 三 方 身份 验证 的 代码 ， 和 仔细 检查 代码 以 保证 其 不 会 受到 任何 恶意 代码 的 影响 。 


B.4 


会 话 管 理 


: 使 用 服务 器 或 者 框架 的 会 话 管理 控制 。 应 用 程序 应 当 只 识别 有 效 的 会 话 标 识 符 。 


“ 会 话 标识 符 必 须 总 是 在 一 个 可 信 系 统 ( 比 如 服务 器 ) 上 创建 。 


程序 。 


“ 会 话 管理 控制 应 当 使 用 通过 审查 的 算法 以 保证 足够 的 随机 会 话 标识 符 。 

“ 为 包含 已 验证 的 会 话 标 识 符 的 cookie 设 置 域 和 路 径 ， 以 为 站 点 设置 一 个 恰当 的 限制 值 。 

“ 注销 功能 应 当 完全 终止 相关 的 会 话 或 连接 。 

* 注销 功能 应 当 可 用 于 所 有 受 身份 验证 保护 的 网 页 。 

在 平衡 的 风险 和 业务 功能 需求 的 基础 上 ， 设 置 一 个 尽量 短 的 会 话 超时 时 间 。 通 常情 况 下 ， 应 当 不 超过 几 个 小 时 。 


“ 禁止 连续 的 登录 并 强制 执行 周期 性 的 会 话 终止 ， 即 使 是 活动 的 会 话 。 特 别 是 对 于 支持 富 网 络 连 接 或 连接 到 关键 系统 的 应 用 


终止 时 机 应 当 可 以 根据 业务 需求 调整 ， 并 且 用 户 应 当 收 到 足够 的 通知 以 减少 带 来 的 负面 影响 。 


. 如 果 一 个 会 话 在 登录 以 前 就 建立 ， 在 成 功 登 录 以 后 ， 关 闭 该 会 话 并 创建 一 个 新 的 会 话 。 
* 在 任何 重新 身份 验证 过 程 中 建立 一 个 新 的 会 话 标识 符 。 
.不 允许 同一 用 户 ID 的 并 发 登录 。 


. 不 要 在 URL、 错 误 信 息 或 日 志 中 暴露 会 话 标识 符 。 会 话 标 识 符 应 当 只 出 现在 HTTP cookie 头 信息 中 。 比 如 ， 不 要 将 会 话 标 
识 符 以 GET 参 数 进行 传递 。 


通过 在 服务 器 上 使 用 恰当 的 访问 控制 ， 保 护 服务 器 端 会 话 数据 免 受 来 自 服务 器 其 他 用 户 的 未 授权 访问 。 
" 生成 一 个 新 的 会 话 标 识 符 并 周期 性 地 使 旧 会 话 标识 符 失 效 ( 这 可 以 缓解 那些 原 标识 符 被 获得 的 特定 会 话 动 持 情况 ) 。 


. 在 身份 验证 的 时 候 ， 如 果 连 接 从 HTTP 变 为 HTTPS， 则 生成 一 个 新 的 会 话 标识 符 。 在 应 用 程序 中 ， 推 荐 持续 使 用 HITPS ， 
而 非 在 HTTP 和 HTTPS 之 间 转 换 。 


. 为 服务 器 端的 操作 执行 标准 的 会 话 管理 ， 比 如 ， 通 过 在 每 个 会 话 中 使 用 强 随机 令 牌 或 参数 来 管理 账户 。 该 方法 可 以 用 来 防 
止 跨 站 点 请 求 伪 造 攻击 。 


" 通过 在 每 个 请 求 或 每 个 会 话 中 使 用 强 随机 令 牌 或 参数 ， 为 高 度 敏感 或 关键 的 操作 提供 标准 的 会 话 管 理 。 
. 为 在 TLS 连 接 上 传输 的 cookie 设 置 “ 安 全 ”属性 。 


“ 将 cookie 设 置 为 HttpOnly 属 性 ， 除 非 在 应 用 程序 中 明确 要 求 了 客户 端 脚本 程序 读 取 或 者 设置 cookie 的 值 。 


B.5 访问 控制 
“ 只 使 用 可 信和 系统 对 象 ( 比 如 服务 器 端 会 话 对 象 ) 以 做 出 访问 授权 的 决定 。 
` 使 用 一 个 单独 的 全 站 点 部 件 以 检查 访问 授权 。 这 包括 调用 外 部 授权 服务 的 库 文件 。 
: 安全 的 处 理 访问 控制 失败 的 操作 。 
" 如 果 应 用 程序 无 法 访问 其 安全 配置 信息 ， 则 拒绝 所 有 的 访问 。 


- 在 每 个 请 求 中 加 强 授权 控制 ， 包 括 : 服务 器 端 脚 本 产生 的 请 求 ，“includes” 和 来 自 象 AJAX 和 FLASH 那 样 的 富 客户 端 技术 
的 请 求 。 


将 有 特权 的 逻辑 从 其 他 应 用 程序 代码 中 隔离 开 。 

* 限制 只 有 授权 的 用 户 才能 访问 文件 或 其 他 资源 ， 包 括 应 用 程序 外 部 的 直接 控制 。 
* 限制 只 有 授权 的 用 户 才 能 访问 受 保护 的 URL。 

* 限制 只 有 授权 的 用 户 才能 访问 受 保护 的 功能 。 

* 限制 只 有 授权 的 用 户 才能 访问 直接 对 象 引 用 。 


“ 限制 只 有 授权 的 用 户 才能 访问 服务 。 


* 限制 只 有 授权 的 用 户 才能 访问 应 用 程序 数据 。 


* 限制 通过 使 用 访问 控制 来 访问 用 户 、 数 据 属 性 和 策略 信息 。 


* 限制 只 有 授权 的 用 户 才 能 访问 与 安全 相关 的 配置 信息 。 


* 服务 器 端 执行 的 访问 控制 规则 和 表示 层 实施 的 访问 控制 规则 必须 匹配 。 


` 如 果 状 态 数据 必须 存储 在 客户 端 ， 使 用 加 密 算法 ， 并 在 服务 器 端 检查 完整 性 以 捕获 状态 的 改变 。 


强制 应 用 程序 逻辑 流程 遵照 业务 规则 。 


* 限制 单一 用 户 或 设备 在 一 段 时 间 内 可 以 执行 的 事务 数量 。 事 务 数量 /时 间 应 当 高 于 实际 的 业务 需求 ， 但 也 应 该 足够 低 以 判 
定 自动 化 攻击 。 


" 仅 使 用 “referer” 头 作为 补偿 性 质 的 检查 。 它 永远 不 能 被 单独 用 来 进行 身份 验证 检查 ， 因 为 它 可 以 被 伪造 。 


* 如 果 长 的 身份 验证 会 话 被 允许 ， 周 期 性 的 重新 验证 用 户 的 身份 ， 以 确保 他 们 的 权限 没有 改变 。 如 果 发 生 改 变 ， 注 销 该 用 
户 ， 并 强制 他 们 重新 执行 身份 验证 。 


: 执行 账号 审计 并 将 没有 使 用 的 账号 强制 失效 (比如 在 用 户 密码 过 期 后 的 30 天 以 内 ) 。 

* 应 用 程序 必须 支持 账号 失效 ， 并 在 账号 停止 使 用 时 终止 会 话 〈 比 如 角色 、 职 务 状 况 、 业 务 处 理 的 改变 等 ) 。 

. 服务 账号 ， 或 连接 到 或 来 自 外 部 系统 的 账号 ， 应 当 只 有 尽 可 能 小 的 权限 。 

. 建立 一 个 “访问 控制 政策 ”以 明确 一 个 应 用 程序 的 业务 规则 、 数 据 类 型 和 身份 验证 的 标准 或 处 理 流程 ， 确 保 访问 可 以 被 恰 
当地 提供 和 控制 。 这 包括 了 为 数据 和 系统 资源 确定 访问 需求 。 
B.6 ”加 密 规范 

" 所 有 用 于 保护 来 自 应 用 程序 用 户 秘密 信息 的 加 密 功 能 都 必须 在 一 个 可 信和 系统 (比如 : 服务 器 ) 上 执行 。 

“ 保护 主要 秘密 信息 免 受 未 授权 的 访问 。 

: 安全 的 处 理 加 密 模 块 失败 的 操作 。 


:为 防范 对 随机 数据 的 猜测 攻击 ， 应 当 使 用 加 密 模 块 中 已 验证 的 随机 数 生成 器 生成 所 有 的 随机 数 、 随 机 文件 名 、 随 机 GUID 
和 随机 字符 串 。 


. 应 用 程序 使 用 的 加 密 模块 应 当 遵从 FIPS 140-2 或 其 他 等 同 的 标准 (请 
见 : http://cstc.nist.gov/gtroups/STM/cmvp/validation.html) 。 


. 建立 并 使 用 相关 的 政策 和 流程 以 实现 加 、 解 密 的 密 钥 管理 。 


B.7 错误 处 理 和 日 志 


* 不 要 在 错误 响应 中 泄露 敏感 信息 ， 包 括 : 系统 的 详细 信息 、 会 话 标 识 符 或 者 账号 信息 。 
` 使 用 错误 处 理 以 避免 显示 调试 或 堆栈 跟踪 信息 。 


* 使 用 通用 的 错误 消息 并 使 用 定制 的 错误 页 面 。 


* 应 用 程序 应 当 处 理应 用 程序 错误 ， 并 且 不 依赖 服务 器 配置 。 


" 当 错 误 条 件 发 生 时 ， 适 当 的 清空 分 配 的 内 存 。 


* 在 默认 情况 下 ， 应 当 拒 绝 访问 与 安全 控制 相关 联 的 错误 处 理 逻 辑 。 


所 有 的 日 志 记录 控制 应 当 在 可 信 系 统 〈 比 如 服务 器 ) 上 执行 。 


' 日志 记录 控制 应 当 支 持 记 录 特 定安 全 事件 的 成 功 或 者 失败 操作 。 


: 确保 日 志 记 录 包 含 了 重要 的 日 志 事件 数据 。 

* 确保 日 志 记 录 中 包含 的 不 可 信 数 据 ， 不 会 在 查看 界面 或 者 软件 时 以 代码 的 形式 被 执行 。 
* 限制 只 有 授权 的 个 人 才能 访问 日 志 。 

* 为 所 有 的 日 志 记录 采用 一 个 主要 的 常规 操作 。 

: 不 要 在 日 志 中 保存 敏感 信息 ， 包 括 : 不 必要 的 系统 详细 信息 、 会 话 标识 符 或 密码 。 

* 确保 一 个 执行 日 志 查 询 分 析 机 制 的 存在 。 

: 记录 所 有 失败 的 输入 验证 。 

“ 记录 所 有 的 身份 验证 尝试 ， 特 别 是 失败 的 验证 。 


“ 记录 所 有 失败 的 访问 控制 。 


* 记录 明显 的 修改 事件 ， 包 括 对 于 状态 数据 非 期 待 的 修改 。 
. 记录 连接 无 效 或 者 已 过 期 的 会 话 令 牌 尝试 。 

. 记录 所 有 的 系统 例外 。 

. 记录 所 有 的 管理 功能 行为 ， 包 括 对 于 安全 配置 设置 的 更 改 。 
- 记录 所 有 失败 的 后 端 TLS 链 接 。 

. 记录 加 密 模块 的 错误 。 


` 使 用 加 密 哈 希 功能 以 验证 日 志 记 录 的 完整 性 。 


B.8 数据 保护 


* 授予 最 低 权 限 ， 以 限制 用 户 只 能 访问 为 完成 任务 所 需要 的 功能 、 数 据 和 系统 信息 。 


* 保护 所 有 存放 在 服务 器 上 缓存 的 或 临时 拷贝 的 敏感 数据 ， 以 避免 非 授权 的 访问 ， 并 在 临时 工作 文件 不 再 需要 时 被 尽快 清 
除 。 


* 即使 在 服务 器 端 ， 仍 然 要 加 密 存 储 的 高 度 机 密 信息 ， 比 如 身份 验证 的 验证 数据 。 总 是 使 用 已 经 被 很 好 验证 过 的 算法 ， 更 多 


指导 信息 请 参见 “加 密 规 范 ” 部 分 。 


* 保护 服务 器 端的 源 代 码 不 被 用 户 下 载 。 


* 不 要 在 客户 端 上 以 明文 形式 或 其 他 非 加 密 安 全 模式 保存 密码 、 连 接 字符 串 或 其 他 敏感 信息 。 这 包括 嵌入 在 不 安全 的 形式 


中 : MS viewstate、Adobe flash 或 者 已 编译 的 代码 。 


» 
cache 


. 删除 用 户 可 访问 产品 中 的 注释 ， 以 防止 泄露 后 台 系 统 或 者 其 他 敏感 信息 。 

. 删除 不 需要 的 应 用 程序 和 系统 文档 ， 因 为 这 些 也 可 能 向 攻击 者 泄露 有 用 的 信息 。 
. 不 要 在 HTTP GET 请 求 参数 中 包含 敏感 信息 。 

* 禁止 表单 中 的 自动 填充 功能 ， 因 为 表单 中 可 能 包含 敏感 信息 ， 包 括 身份 验证 信息 。 


禁止 客户 端 缓 存 网 页 ， 因 为 可 能 包含 敏感 信息 。 “Cache-Control: no-store”， 可 以 和 HTTP 报 头 控 制 “Pragma: no- 


一 起 使 用 ， 该 控制 不 是 非常 有 效 ， 但 是 与 HTTP/1.0 向 后 兼容 。 


* 应 用 程序 应 当 支 持 ， 当 数据 不 再 需要 的 时 候 ， 删 除 敏 感 信 息 〈 比 如 个 人 信息 或 者 特定 财务 数据 ) 。 


* 为 存储 在 服务 器 中 的 敏感 信息 提供 恰当 的 访问 控制 。 这 包括 缓存 的 数据 、 临 时 文件 以 及 只 允许 特定 系统 用 户 访问 的 数据 。 


* 为 所 有 敏感 信息 采用 加 密 传输 。 其 中 应 该 包括 使 用 TLS 对 连接 的 保护 ， 以 及 支持 对 敏感 文件 或 非 基于 HTTP 连 接 的 不 连续 


"TLS 证 书 应 当 是 有 效 的 ， 有 正确 且 未 过 期 的 域名 ， 并 且 在 需要 时 ， 可 以 和 中 间 证 书 一 起 安装 。 
. 没有 成 功 的 TLS 连 接 不 应 当 后 退 成 为 一 个 不 安全 的 连接 。 

` 为 所 有 要 求 身份 验证 的 访问 内 容 和 所 有 其 他 的 敏感 信息 提供 TLS 连 接 。 

` 为 包含 敏感 信息 或 功能 、 且 连接 到 外 部 系统 的 连接 使 用 TLS。 

` 使 用 配置 合理 的 单一 标准 TLS 连 接 。 


` 为 所 有 的 连接 明确 字符 编码 。 


. 当 链 接 到 外 部 站 点 时 ， 过 滤 来 自 HTTP referet 中 包含 敏感 信息 的 参数 。 


B.10 


系统 配置 


- 确保 服务 器 、 框 架 和 系统 部 件 采 用 了 认可 的 最 新 版 本 。 


* 确保 服务 器 、 框 架 和 系统 部 件 安装 了 当前 使 用 版 本 的 所 有 补丁 。 


* 关闭 目录 列表 功能 。 


将 Web 服 务 器 、 进 程 和 服务 的 账户 限制 为 尽 可 能 低 的 权限 。 


当 例外 发 生 时 ， 地 进行 错误 处 理 。 


. 移 除 所 有 不 需要 的 功能 和 文件 。 


* 在 部 署 前 ， 移 除 测 试 代码 和 产品 不 需要 的 功能 。 


: 通过 将 不 进行 对 外 检索 的 路 径 目 录放 在 一 个 隔离 的 父 目 录 里 ， 以 防止 目录 结构 在 tobots.txt 文 档 中 暴露 。 然 后 ， 在 fobots.txt 
文档 中 “禁止 ”整个 父 目 录 ， 而 不 是 对 每 个 单独 目录 的 “禁止 ”。 


明确 应 用 程序 采用 哪 种 HITP 方 法: GET 或 POST， 以 及 是 否 需 要 在 应 用 程序 不 同 网 页 中 以 不 同 的 方式 进行 处 理 。 


.禁用 不 需要 的 HITTP 方 法 ， 比 如 WebDAV 扩 展 。 如 果 需 要 使 用 一 个 扩展 的 HTTP 方 法 以 支持 文件 处 理 ， 则 使 用 一 个 好 的 经 


过 验证 的 身份 验证 机 制 。 


- 如 果 Web 服 务 器 支持 HTTP1.0 和 1.1， 确 保 以 相似 的 方式 对 它们 进行 配置 ， 或 者 确保 您 理解 了 它们 之 间 可 能 存在 差异 (比如 
处 理 扩展 的 HTTP 方 法 ) 。 


. 移 除 在 HTTP 相 应 报头 中 有 关 OS、Web 服 务 版 本 和 应 用 程序 框架 的 无 关 信 息 。 


* 应 用 程序 存储 的 安全 配置 信息 应 当 可 以 以 可 读 的 形式 输出 ， 以 支持 审计 。 


` 使 用 一 个 资产 管理 系统 ， 并 将 系统 部 件 和 软件 注册 在 其 中 。 


* 将 开发 环境 从 生成 网 络 隔离 开 ， 并 只 提供 给 授权 的 开发 和 测试 团队 访问 。 开 发 环境 往往 没有 实际 生成 环境 那么 安全 ， 


者 可 以 使 用 这 些 差别 发 现 共 有 的 弱点 或 者 是 可 被 利用 的 漏洞 。 


B.11 


: 使 用 一 个 软件 变更 管理 系统 以 管理 和 记录 在 开发 和 产品 中 代码 的 变更 。 


数据 库 安全 

- 使 用 强 类 型 的 参数 化 查询 方法 。 

- 使 用 输入 验证 和 输出 编码 ， 并 确保 处 理 了 元 字符 。 如 果 失 败 ， 则 不 执行 数据 库 命令 。 
. 确保 变量 是 强 类 型 的 。 

: 当 应 用 程序 访问 数据 库 时 ， 应 使 用 尽 可 能 最 低 的 权限 。 


:为 数据 库 访 问 使 用 安全 和 赁 证。 


攻击 


. 连接 字符 串 不 应 当 在 应 用 程序 中 硬 编码 。 连 接 字符 串 应 当 存 储 在 一 个 可 信服 务 器 的 独立 配置 文件 中 ， 并 且 应 当 被 加 密 。 


* 使 用 存储 过 程 以 实现 抽象 访问 数据 ， 并 允许 对 数据 库 中 表 的 删除 权限 。 
“ 尽 可 能 地 快速 关闭 数据 库 连 接 。 


“ 删除 或 者 修改 所 有 默认 的 数据 库 管理 员 密 码 。 使 用 强 密码 、 强 短语 ， 或 者 使 用 多 因子 身份 验证 。 


* 关闭 所 有 不 必要 的 数据 库 功 能 [比如 : 不 必要 的 存储 过 程 或 服务 、 应 用 程序 包 、 仅 最 小 化 安装 需要 的 功能 和 选项 (表面 范 
围 缩减 ) ] 。 


- 删除 厂商 提供 的 不 必要 的 默认 信息 (比如 数据 库 模 式 示例 ) 。 


禁用 任何 不 支持 业务 需求 的 默认 账号 。 


“ 应 用 程序 应 当 以 不 同 的 凭证 为 每 个 信任 的 角色 (比如 用 户 、 只 读 用 户 、 访 问 用 户 、 管 理 员 ) 连接 数据 库 。 


B.12 ”文件 管理 


不 要 把 用 户 提 交 的 数据 直接 传送 给 任何 动态 调用 功能 。 
* 在 允许 上 传 一 个 文档 以 前 进行 身份 验证 。 
“ 只 允许 上 传 满足 业务 需要 的 相关 文档 类 型 。 
查 文件 报头 信息 ， 验 证 上 传 文档 是 否 是 所 期 待 的 类 型 。 只 验证 文件 类 型 扩展 是 不 够 的 。 

要 把 文件 保存 在 与 应 用 程序 相同 的 Web 环 境 中 。 文 件 应 当 保存 在 内 容 服务 器 或 者 数据 库 中 。 
: 防止 或 限制 上 传 任意 可 能 被 Web 服 务 器 解析 的 文件 。 
* 关闭 在 文件 上 传 目 录 的 运行 权限 。 

过 装 上 目标 文件 路 径 作为 使 用 了 相关 路 径 或 者 已 变更 根 目 录 环 境 的 逻辑 盘 ， 在 UNIX 中 实 全 的 文件 上 传 服务 。 


* 当 引 用 已 有 文件 时 ， 使 用 一 个 白 名 单 记录 允许 的 文件 名 和 类 型 。 验 证 传递 的 参数 值 ， 如 果 与 预期 的 值 不 匹配 ， 则 拒绝 使 
用 ， 或 者 使 用 默认 的 硬 编码 文件 值 代替 。 


* 不 要 将 用 户 提交 的 数据 传递 到 动态 重 定 向 中 。 如 果 必 须 允 许 使 用 ， 那 么 重 定 向 应 当 只 接受 通过 验证 的 相对 路 径 URL。 
* 不 要 传递 目录 或 文件 路 径 ， 使 用 预先 设置 路 径 列 表 中 的 匹配 索引 值 。 

“ 绝对 不 要 将 绝对 文件 路 径 传 递 给 客户 。 

“确保 应 用 程序 文件 和 资源 是 只 读 的 。 


对 用 户 上 传 的 文件 扫描 进行 病毒 和 恶意 软件 。 


B.13 内存 管理 
. 对 不 可 信 数 据 进行 输入 和 输出 控制 。 
. 重复 确认 缓存 空间 的 大 小 是 否 和 指定 的 大 小 一 样 。 


: 当 使 用 允许 多 字 节 拷贝 的 函数 时 ， 比 如 strncpy () ， 如 果 目 的 缓存 容量 和 源 缓存 容量 相等 时 ， 需 要 留意 字符 串 没有 NULL 


“ 如 果 在 循环 中 调用 函数 时 ， 检 查 缓 存 大 小 ， 以 确保 不 会 出 现 超出 分 配 空间 大 小 的 危险 。 
. 在 将 输入 字符 串 传 递 给 拷贝 和 连接 函数 前 ， 将 所 有 输入 的 字符 串 缩短 到 合理 的 长 度 。 
" 关闭 资源 时 要 特别 注意 ， 不 要 依赖 垃圾 回收 机 制 〈 比 如 : 连接 对 象 、 文 档 处 理 等 ) 。 


* 在 可 能 的 情况 下 ,使 用 不 可 执行 的 堆栈 。 


: 避免 使 用 已 知 有 漏洞 的 函数 (比如 : printf，strcat，strcpy 等 ) 。 


. 当 方 法 结束 时 和 在 所 有 的 退出 节点 时 ， 正 确 地 清空 所 分 配 的 内 存 。 
B.14 ”通用 编码 规范 


. 为 常用 的 任务 使 用 已 测试 且 已 认可 的 托管 代码 ， 而 不 创建 新 的 非 托 管 代码 。 


* 使 用 特定 任务 的 内 置 API 以 执行 操作 系统 的 任务 。 不 允许 应 用 程序 直接 将 代码 发 送 给 操作 系统 ， 特 别 是 通过 使 用 应 用 程序 


初始 的 命令 shell。 
: 使 用 校 验 和 或 哈 希 值 验证 编译 后 的 代码 、 库 文件 、 可 执行 文件 和 配置 文件 的 完整 性 。 
: 使 用 死 锁 来 防止 多 个 同时 发 送 的 请 求 ， 或 使 用 一 个 同步 机 制 防止 竞 态 条 件 。 
: 在 同时 发 生 不 恰当 的 访问 时 ， 保 护 共 享 的 变量 和 资源 。 
* 在 声明 时 或 在 第 一 次 使 用 前 ， 明 确 初始 化 所 有 变量 和 其 他 数据 存储 。 
当 应 用 程序 运行 发 生 必须 提升 权限 的 情况 时 ， 尽 量 晚点 提升 权限 ， 并 且 尽 快 放弃 所 提升 的 权限 。 


` 通过 了 解 您 使 用 的 编程 语言 的 底层 表达 式 以 及 它们 是 如 何 进 行 数学 计算 ， 从 而 避免 计算 错误 。 密 切 注意 字 节 大 小 依赖 、 精 
确 度 、 有 无 符合 、 截 尾 操 作 、 转 换 、 字 节 之 间 的 组 合 、“not-a-number” 计 算 以 及 对 于 编程 语言 底层 表达 式 如 何 处 理 非常 大 或 者 
非常 小 的 数 。 


“ 不 要 将 用 户 提 供 的 数据 传递 给 任何 动态 运行 的 功能 。 


- 限制 用 户 生 成 新 代码 或 更 改 现 有 代码 。 


附录 C 测试 文档 模板 


C.1 安全 测试 计划 模板 
1. 简 介 
(1) 目的 
【简单 介绍 本 次 测试 的 目的 及 目标 】 
(2) 背景 
【对 待 测 系统 进行 描述 ， 包 括 主要 功能 、 被 测 系统 的 架构 、 整 体 的 网 络 拓扑 结构 以 及 项 目 简介 等 】 
(3) 范围 


【明确 本 次 测试 的 范围 ， 包 括 IP 范 围 、 需 测试 的 模块 等 】 


(4) 测试 依据 


【编写 测试 计划 所 需 的 文档 ， 一 般 为 项 目 计划 、 开 发 计划 、 需 求 文档 、 威 胁 建 模 文档 等 】 


2. 测 试 需求 和 风险 


【 列 出 需要 在 基于 风险 的 安全 测试 策略 下 的 需求 ， 并 且 需 要 明确 需求 的 优先 级 、 可 测试 性 ; 列 出 风险 分 析 的 结果 ， 有 哪些 风 
险 ， 风 险 的 优先 级 。 表 格 可 以 定制 ， 见 表 C-1】 


风险 ( 需求 ) 


3 .测试 阶段 和 类 型 


【描述 本 次 测试 都 有 哪些 测试 阶段 、 每 个 阶段 下 都 有 哪些 类 型 。 表 格 可 以 定制 ( 见 表 C-2) ， 添 加 更 详细 的 信息 】 


表 C-2 测试 阶段 表 


测试 阶段 | 测试 类 型 备 注 

单元 测试 源 代码 审核 …… 具体 测试 的 内 容 、 优 先 级 
集成 测试 数据 流 分 析 …… 

系统 测试 渗透 测试 …… 

验收 测试 渗透 测试 ……. 


4 资源 
(1) 人 力 资源 


【 列 出 在 本 项 目 中 需要 的 人 员 信息 ， 可 根据 自己 公司 自身 特点 适当 地 删除 或 添加 角色 ( 见 表 C-3) 】 


表 C-3 测试 人 员 表 


人 力 资 源 


和 rr 


负责 项 目的 全 局 管理 监督 
。 职责 (参考 ): 
安全 测试 经 理 = 
es 负责 协调 相关 资源 

批准 测试 计划 


ep 负责 制定 渗透 测试 计划 
本 执行 渗透 测试 


. 执行 风险 评估 ， 为 其 他 人 员 提 供 支 趟 
风险 评估 人 员 ea 评估 ， 为 其 他 人 员 提 供 支 持 


国生 | 1. 负责 整体 系统 的 分 析 、 提 出 相应 的 测试 方案 
挫 木 公 八 山 


ss 


(2) 系统 资源 
【需要 的 服务 器 、 操 作 系统 、 数 据 库 、 中 间 件 等 ( 见 表 C-4) 】 


表 C-4 系统 资源 表 


名 称 备 注 
Web 服务 器 配置 信息 
(3) 测试 工具 
【描述 整个 测试 过 程 中 需要 的 测试 工具 ( 见 表 C-5) 】 
表 C-5 测试 工具 表 
测试 工具 
名 称 备 注 
Sqlmap 进行 sql 注入 检测 
5. 里 程 碑 


【描述 测试 的 时 间 安 排 ( 见 表 C-6) 】 


表 C-6 测试 时 间 表 


时 间 内 备 注 
由 测试 经 理 召 集 ， 风 险 评估 人 员 、 高 
11.25 ~ 11.27 制定 测试 计划 级 安全 测试 工程 师 参 与 编写 ， 最 后 由 测 


试 经 理 批 准 


6. 可 交付 物 
【测试 之 后 需要 交付 的 相关 文档 ， 如 安全 测试 计划 、 安 全 测试 报告 等 
7. 风 险 


【描述 测试 过 程 中 可 能 遇 到 的 风险 ， 比 如 时 间 上 风险 、 技 术 上 的 风险 等 ， 并 对 风险 进行 优先 级 的 划分 ， 以 及 对 相应 风险 采取 
的 降低 措施 ( 见 表 C-7) 】 


表 C-7 测试 风险 表 


C.2 ”测试 用 例 模 板 


通用 测试 用 例 模 板 和 Web 通 用 测试 用 例 模板 分 别 如 表 C-8、 表 C-9 所 示 。 


表 C-8 通用 测试 用 例 模 板 


| 用例 找 述 。 ”| 操作 步骤。 | 预期 结果 ”| 执行 结果 | 备 。 注 
日 志 应 该 记录 操作 人 员 信 息 
测试 日 志 记 录 功 能 | 进行 详 单 查询 操作 | 日 志 应 该 记录 操作 时 间 
日 志 应 该 记录 操作 事项 


( 续 ) 


EE 庆生 ”| 。”。 珊 风 ”| 扩 各 宁 [ 各 ” 认 


测 ; i ab | 着 生 : 、 日 志 应 该 记录 系统 状态 
测试 日 志 记 录 功 能 | 进行 详 单 查询 操作 该 记录 系 


人 志文 件 人 小 =j 
测试 日 志 记录 功能 | 在 日 志文 件 入 小 接近 


满载 时 ， 不 断 进 行 详 | 日 志 应 该 完整 记录 相关 信息 


实现 完备 | 
i 单 查询 操作 


表 C-9 Web 通 用 测试 用 例 模板 表 


测试 用 例 名 称 Cookie 属性 安全 性 测试 
测试 目的 验证 是 否 安全 设置 Cookie 
已 知 Web 网 站 地 址 
Web 业务 运行 正常 


SA Web 业务 存在 登录 认证 模块 
已 知 正确 的 用 户 名 、 密 码 
使 用 工具 查看 cookie 属性 
上 仿 查 domain 设置 为 “XXX.com ” 
执行 步 又 2 expires a te 
检查 HttpOnly 属性 设置 为 True 
检查 Secure 属性 设置 为 True 
预期 结果 不 存在 安全 漏洞 
实际 结果 


附录 D 安全 测试 工具 列表 


D.1 源 代 码 分 析 工 具 


* Google CodeSearchDiggity: 开源 ， 利 用 谷歌 代码 搜索 开源 代码 项 目的 漏洞 ， 如 MS CodePlex，SourceForge，Github 等 。 这 个 
工具 自 带 130 个 多 个 注入 、 跨 站 脚本 、 远 程 和 本 地 文件 包含 、 硬 编码 等 漏洞 分 析 。 


" FindBugs: 开源 ，Java 程 序 的 漏洞 查找 工具 。 

FxCop: 开源 ， 微 软 的 代码 审查 工具 ， 主 要 目标 是 .NET 程 序 ， 包 括 设计 、 本 地 化 、 性 能 和 安全 性 测试 。 

- PreFast: 开源 ， 微 软 的 静态 代码 审查 工具 ， 主 要 对 象 是 C 和 C++， 已 经 集成 在 Visual Studio 中 。 
. RATS: Fortify 的 开源 工具 ， 支 持 C、C++、Ped、PHP 和 Python 多 种 语言 的 审查 工具 。 

* OWASP SWAAT Project: 使 用 简单 ， 支 持 Java、JSP、ASP.Net 和 PHP 语 言 。 

. Flawfinder: 开源 ， 支 持 C 和 C++ 的 审查 工具 。 

RIPS: 开源 ，PHP 应 用 的 静态 代码 审查 工具 。 
. Brakeman: 开源 ，Ruby 的 开源 漏洞 审查 工具 。 

. Codesake Dawn: 开源 ， 支 持 Sinatra、Padrino 和 Ruby 的 审查 工具 。 

. VCG: 开源 ，C/C++、Java、C# 和 PL/SQL 的 代码 审查 工具 。 

. CodeXploiter: 开源 ，PHP 代 码 审查 工具 。 


. Fortify SCA (Source Code Analysis) : 商业 ， 目 前 全 球 最 大 静态 源 代 码 检 测 厂 商 ， 支 持 语言 最 多 。 支 持 Java、]JSP、 


ASP.NET、 C#, VB.NET、 C、 C++、 COBOL、 ColdFusion、 Transact-SQL、 PL/SQL、 JavaScript/Ajax、Classic、ASP、VBScript、 
VB6、PHP 语 言 。 


.CheckmarxCxSuite: 以 色 列 Checkmarx 公 司 出 品 的 商业 源 代码 设计 工具 ， 支 持 JAVA、ASP.NET (C#、VB.NET) 、 
JavaSctipt、Jscript、C/C++、APEX 语 言 。 


. ArmorizeCodeSecure: 阿 玛 科技 出 品 的 商业 源 代码 审查 工具 ， 支 持 ASP.NET (C#、VB.NET) 、ASP、JAVA、PHP 语 言 。 


D.2 二进制 文件 分 析 工 具 


. LogiScan: 商业 软件 ，LogicLibrary 在 2004 年 9 月 收购 了 BugScan， 此 后 对 后 者 的 二 进 制 审核 工具 的 品牌 重新 进行 了 命名 ， 并 
将 其 包含 到 Logidex SDA 管 理 方案 中 。 


` BugScam: 开源 软件 ，BugScam 是 一 个 IDA Pro 的 IDC 脚 本 集合 ， 它 枚 举 了 二 进 制 文 件 中 的 函数 调用 ， 以 识别 出 对 各 种 不 
同 库 函 数 可 能 的 不 安全 调用 。 


“ Inspector: HB Gray 出 品 的 商业 工具 ，Inspectot 是 一 个 RCE 管 理 系 统 ， 它 统一 了 来 自 各 种 不 同 RCE 工 具 的 输出 ， 例 如 IDA 
Pro 和 OllyDbg。 


. SecutityReview: VeraCode 的 商业 工具 ， 该 产品 将 一 个 二 进 制 分 析 套 件 直接 集成 进 开发 环境 ， 类 似 于 源 代码 分 析 套 件 的 功 
能 ， 如 Coverity。 在 二 进 制 代码 层次 上 进行 分 析 ， 使 得 VeraCode 能 够 检测 出 一 些 问题 。 这 些 问 题 与 “所 看 到 的 并 不 一 定 是 所 执行 
的 ”有 关 。 
D.3 ”模糊 测试 框架 
.Antipatset: 开源 ， 基 于 Python 开发 的 模糊 测试 框架 ， 可 以 生成 随机 数据 。 
Dfuz: 开源 ， 基 于 C 语 言 开 发 的 简单 而 且 功 能 强大 的 模糊 测试 框架 ， 可 以 针对 许多 协议 和 文件 格式 进行 模糊 测试 。 
“ SPIKE: 开源 ， 使 用 最 广泛 并 且 知 名 度 最 高 的 模糊 测试 框架 ， 可 以 快速 有 效 地 对 网 络 协议 进行 模糊 测试 。 
" Peach: 开源 ， 基 于 Python 的 跨 平 台 的 模糊 测试 框架 ， 该 框架 提供 了 生成 器 、 转 换 器 、 协 议 、 发 行 器 以 及 群 组 组 件 。 
. Sulley: 开源 ， 基 于 Python 开发 的 ， 目 前 最 强大 的 模糊 测试 框架 ， 可 以 自动 化 地 完成 模糊 测试 。 
D.4 ”渗透 测试 工具 
1. 密 码 审 计 类 
. Aircrack: 用 来 破解 802.11a/b/g WEP 和 WPA 的 工具 套件 。 
Cain and Abel: 强大 的 密码 破解 工具 ， 支 持 多 种 协议 。 
.John the Ripper: 快速 破解 UNIX/Linux 和 Mac OS 义 的 密码 工具 。 
"THC Hydra: 快速 使 用 字典 破解 的 密码 破解 工具 ， 支 持 30 多 种 协议 。 


" Ophcrack: 免费 的 基于 彩虹 表 的 破解 工具 。 


. LOphtCrack: 破解 Windows 密 码 的 工具 。 

. Brutus: 基于 图 形 界面 的 密码 破解 工具 ， 只 支持 Windows， 功 能 和 Hydta 一 样 。 
2. 嗅 探 类 工具 

WireShark: 开源 的 支持 多 平台 的 网 络 协 议 分 析 工 具 。 

“ Ettetcap: 局 域 网 的 嗅 探 工具 。 

* Netstumbler: Windows 下 查找 无 线 访问 点 的 工具 。 
3. 漏 洞 扫 摘 工具 


. Nessus: 最 受 欢 迎 的 漏洞 扫描 器 ， 最 初 是 开源 的 工具 ， 但 是 2008 年 之 后 开始 商业 化 ， 现 在 有 “Nessus Home” 可 以 免费 使 


. OpenVAS: Nessus 商 业 化 之 后 出 现 的 Nessus 的 开源 版 。 

: Nexpose: 漏洞 扫描 器 ， 支 持 全 生命 周期 的 漏洞 管理 ， 包 括 发 现 、 探 测 、 确 认 、 风 险 分 类 、 报 告 、 减 缓 。 
4.Web 扫 描 器 

Burp Suite: 集成 的 Web 应 用 攻击 平台 。 

- Nikto: 开源 的 Web 服 务 器 扫描 器 。 

. W3af: 强大 的 发 现 和 利用 Web 应 用 漏洞 的 工具 。 

. WebScarab: OWASP 发 布 的 类 似 Butp 的 工具 。 

. Sqlmap: 开源 的 SQL 注入 探测 和 利用 工具 。 

* Skipfish: 谷歌 开发 源 代码 的 Web 扫 描 器 。 

. Acunetix WVS: 自动 化 的 Web 漏 洞 扫 描 器 。 

. AppScan: IBM 出 品 的 商业 Web 漏 洞 扫 描 器 。 

* Netspatket: 快速 的 Web 漏 洞 扫描 器 ， 尤 其 对 SQL 注入 和 XSS 。 

. WebInapect: HP 出 品 的 Web2.0 漏 洞 扫描 器 。 

. Firebug: 火狐 浏览 器 的 插件 ， 可 以 查看 编辑 HTML、CSS、DOM 和 JavaSctipt。 

DirBuster: OWASP 开 发 的 目录 遍历 工具 。 

" Wfuzz: Web 应 用 的 暴力 破解 工具 。 
5. 漏 洞 利用 工具 

: Metasploit: 强大 的 漏洞 利用 工具 ， 包 括 探测 扫描 和 利用 等 功能 。 


.Core Impact: 商业 化 比较 昂贵 的 综合 漏洞 利用 工具 。 


. Sqlmap: 强大 的 SQL 注入 漏洞 利用 工具 。 

Canvas: 商业 的 综合 漏洞 利用 工具 ， 比 Cote Impact 便 宜 。 

Social Engineet Toolkit (SET) : 强大 的 社会 工程 学 工具 。 
6. 手 工 发 包工 具 (packter-crafters) 

: Netcat: 简单 的 读 写 基于 TCP 或 UDP 数 据 包 工具 。 


" Hping: 比 ping 更 强大 的 工具 。 


